L’une des précautions à prendre pour éviter d’être victime d’une escroquerie par phishing est de faire attention aux liens et à l’expéditeur des e-mails que vous recevez. Conscient de cela, un groupe de hackers sympathiques au gouvernement russe a fourni un moyen de camoufler ces informations avec des liens Google légitimes. Le résultat est une attaque qui a visé plus de 200 utilisateurs de Gmail.
Les cibles n’ont pas été choisies au hasard. Parmi eux, des journalistes critiques à l’égard du gouvernement russe, des personnes liées à l’armée ukrainienne et des dirigeants de compagnies énergétiques de différentes parties du monde. C’est ce que souligne une étude du Citizen Lab, un groupe de recherche sur les droits numériques lié à l’Université de Toronto.
Les enquêtes étaient basées sur des messages de phishing reçus par le journaliste américain David Satter. Fervent critique du gouvernement russe, M. Satter a écrit le livre Madrugada Sombria (Aube noire), qui relate ce qu’il appelle l’entrée “désastreuse” de la Russie dans le capitalisme. En conséquence, en 2014, le journaliste a été interdit d’entrée sur le territoire russe.
En octobre 2016, M. Satter a reçu deux courriels passant par un service de sécurité de Google avec des alertes sur les tentatives de saisie de mots de passe. Les messages comportaient un bouton “Change Password” et lui demandaient de changer son mot de passe Gmail dès que possible.
Les utilisateurs plus expérimentés peuvent voir pour le moment que le message n’est pas légitime à cause de l’expéditeur : . Le problème est que le nom de Google y est suffisant pour que beaucoup de gens mordent à l’hameçon.
Cependant, les gens sont plus attentifs aux liens. Car voici le point le plus ingénieux : le lien vers le bouton “Change Password” mène à une adresse raccourcie sur Tinycc; sachant que beaucoup de gens y comprendraient l’astuce, les pirates ont essayé de déguiser ce lien avec une adresse AMP (Accelerated Mobile Pages) de Google.
L’AMP est, pour ceux qui ne le savent pas, une plateforme que Google a créée pour que les pages web compatibles puissent se charger plus rapidement sur les appareils mobiles. En plus de suivre un schéma de codage qui les rend plus légères, ces pages sont stockées sur les serveurs de Google comme une sorte de cache, ce qui explique pourquoi elles reçoivent des liens dans des domaines comme google.com et google.com.
Vous avez compris le truc ? Le bouton Changer le mot de passe contenait donc un lien Google légitime qui redirigeait vers Tinycc qui, à son tour, redirigeait vers une page où la victime était invitée à entrer son mot de passe en prévision de son changement.
On ne sait pas exactement combien des plus de 200 cibles ont cru en la légitimité du message, mais Satter était l’une d’entre elles. Certains des documents du journaliste obtenus lors de l’attaque ont été partagés sur Internet par des personnes favorables au gouvernement russe.
C’est maintenant Google qui est concerné. L’entreprise affirme qu’elle est déjà consciente du problème et qu’elle a pris des mesures, comme l’affichage d’avertissements (similaires à celui-ci) indiquant que certains liens vers l’AMP peuvent ne pas être sûrs.
Mais ce n’est pas suffisant. Pour Nicholas Weaver, spécialiste en informatique à l’université de Californie, l’AMP présente un défaut structurel auquel il faut remédier d’une manière ou d’une autre.
Pour aggraver les choses, ce n’est pas le seul casse-tête pour Google. Citizen Lab souligne que l’attaque de phishing est liée aux pirates de Fancy Bear. Le groupe a également créé une page Google+ avec des images et des messages provenant des pages de sécurité de Gmail.
On ne sait pas encore si cette page a été utilisée, mais simplement parce qu’elle se trouve dans une adresse Google légitime, le risque que quelqu’un clique sur des liens malveillants y est grand.
