Des cybercriminels russes ont mené une série de cyberattaques à l’encontre des utilisateurs de Gmail. Pour arriver à leurs fins, les pirates ont trouvé le moyen de contourner le système d’authentification deux facteurs de Google. Explications.
UNC6293, un groupe de cybercriminels russes lié à l’organisation APT29, qui également connue sous les noms de Cozy Bear, Cloaked Ursa ou Midnight Blizzard, ont trouvé le moyen de contourner l’authentification deux facteurs mise en place par Google pour protéger Gmail. Cette méthode, épinglée par les chercheurs de The Citizen Lab, a été exploitée dans le cadre de cyberattaques contre des universitaires, des journalistes et des critiques du régime russe entre avril et juin 2025. Deux campagnes différentes ont été enregistrées sur la période.
À lire aussi : Faille chez Google – un bug permettait de deviner le numéro de téléphone de votre compte
Un mail qui prétend provenir du gouvernement
Décrite par les chercheurs comme « une nouvelle attaque d’ingénierie sociale sophistiquée et personnalisée », l’offensive débute par l’envoi d’un mail. Les pirates usurpent l’identité de fonctionnaires du département d’État des États-Unis, le département fédéral chargé des relations internationales. L’un des mails étudiés était prétendument signé par une certaine Claudie S. Weber. Dans le courriel, la fonctionnaire invite son interlocuteur à « une conversation privée en ligne » qui nécessite son expertise. L’attaque a en effet visé une pléthore d’experts renommés, comme Keir Giles, le spécialiste britannique de l’ingérence de la Russie.
Pour endormir la méfiance de la cible, les cybercriminels font preuve d’une grande patience. Les échanges par mail vont durer plusieurs semaines. Par ailleurs, ils glissent plusieurs adresses @state.gov en copie. De facto, la cible est persuadée qu’elle est en face d’une communication officielle du gouvernement américain.
Le mot de passe d’application Google
Au cours de la conversation, les pirates vont inviter l’expert à rejoindre la plateforme intitulée MS DoS Guest Tenant. Celle-ci doit permettre à la cible « d’assister facilement à de futures réunions, quel que soit le moment où elles ont lieu ». Soucieux de participer, l’expert va accepter. Il va alors recevoir un fichier PDF truffé d’instructions précises sur la manière de configurer l’accès à la plateforme.
En fait, les instructions sont rédigées de façon à pousser la victime à créer un mot de passe d’application Google. Il s’agit d’un code à 16 chiffres permettant à une application ancienne ou moins sécurisée d’accéder à votre compte Gmail, même si la double authentification est activée. Certaines applications, comme des clients mail anciens, des appareils connectés ou des caméras de surveillance, ne prennent pas en charge les méthodes modernes d’authentification. C’est pourquoi le mot de passe d’application existe.
Une fois le code créé, l’expert doit le fournir aux prétendus fonctionnaires du gouvernement. Pour « finir la configuration, transmettez ce mot de passe à la personne du Département d’État américain qui vous a invité à rejoindre “US DoS Guest 0365 Tenant ” en tant que membre locataire », peut-on lire dans le courriel.
Au lieu de configurer une plateforme gouvernementale, les victimes vont donner aux pirates russes un accès complet à leur compte Gmail. Une fois que c’est fait, les cybercriminels vont pouvoir exfiltrer une foule de données confidentielles. L’attaque n’implique pas le moindre logiciel malveillant ou l’exploitation d’une faille de sécurité. Elle est intégralement basée sur la manipulation de la cible. Comme l’explique Google, « ce n’est pas une faille dans Gmail lui-même ». En fait, « les attaquants ont abusé de cette fonctionnalité légitime grâce à l’ingénierie sociale trompeuse ».
Google recommande aux internautes potentiellement visés de rejoindre son Advanced Protection Program. Conçu pour les personnes à risque, ce programme est le niveau de sécurité le plus élevé disponible pour les comptes Google. Il désactive d’ailleurs les mots de passe d’application par sécurité.
Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Google