Google lance une alerte majeure en 2025, révélant une faille de sécurité préoccupante qui touche potentiellement des millions de comptes Gmail et autres services associés. Cette alerte survient après une attaque orchestrée par le groupe de hackers ShinyHunters, exploitant une vulnérabilité liée à l’intégration de Google avec des plateformes comme Salesforce. Si aucun mot de passe n’a, selon Google, été directement compromis, cette faille a provoqué une augmentation massive des tentatives de phishing et de vishing ciblant les utilisateurs à travers le monde.
Les conséquences sont lourdes tant pour les particuliers que pour les professionnels utilisant Google Workspace, Google Drive ou encore Gmail. Les cybercriminels utilisent désormais des méthodes de plus en plus sophistiquées pour récupérer les accès aux comptes, allant jusqu’à se faire passer pour des employés officiels de Google lors d’appels téléphoniques frauduleux. Face à cette menace, plusieurs pratiques de sécurité deviennent prioritaires pour éviter de transformer un simple clic en cauchemar numérique. Cet article propose un panorama détaillé de cette faille, des risques encourus et des directives indispensables pour renforcer la sécurité de vos comptes.
La faille Google OAuth : un danger sous-estimé pour les comptes d’entreprise
En 2025, une faille critique a été identifiée dans Google OAuth, le protocole d’authentification qui facilite la connexion sécurisée aux services comme Gmail, Google Drive ou encore YouTube. Cette vulnérabilité particulière concerne principalement les entreprises ou start-ups en faillite dont les noms de domaine utilisés pour l’authentification ont été rachetés par des tiers malveillants.
La mécanique est simple mais redoutablement efficace : quand une entreprise ferme ses portes, son nom de domaine associé à ses applications tierces peut être repris par un hacker. Ce dernier peut alors recréer des comptes liés à l’ancien domaine, obtenant ainsi un accès indirect mais réel à des services comme Google Workspace, Slack ou Notion, utilisés par l’entreprise.
Les chercheurs de Trufflesecurity ont démontré que cela permettait à des attaquants de récupérer toutes sortes de données sensibles, dont des documents fiscaux, des dossiers d’assurance ou des numéros de Sécurité sociale. Ces informations exposent les anciens employés à un risque élevé de vol d’identité. Selon Dylan Ayrey, le chercheur à l’origine de cette découverte, cette faille touche plusieurs millions d’individus dans le monde, notamment aux États-Unis, et Google tarde encore à proposer une véritable correction.
Le problème technique réside dans le fait que Google OAuth se base souvent sur le domaine lié au compte utilisateur pour l’authentification, et non sur un identifiant durable immuable. Cela crée une faille critique lorsque ce domaine change de propriétaire. Malgré la présence d’un mécanisme de sous-réclamation censé garantir l’identité unique des utilisateurs, celui-ci possède un taux d’erreur non négligeable. De ce fait, les services tiers préfèrent toujours s’appuyer sur le domaine pour authentifier les utilisateurs, ce qui ouvre une brèche exploitable pour les hackers.
Google recommande désormais aux entreprises en faillite de clore correctement leurs domaines et de supprimer toutes les données utilisateurs associées. Il encourage également les développeurs à adopter des identifiants de compte uniques et immuables pour éviter ces fuites. En attendant, cette faille constitue une menace tangible qui pourrait compromettre non seulement la sécurité personnelle des utilisateurs mais aussi la confidentialité des données professionnelles les plus sensibles.
Les méthodes de phishing et vishing : comment les pirates exploitent la faille Google pour piéger les utilisateurs
Le groupe ShinyHunters est passé à l’action en juin 2025, exploitant cette faille pour dérober des données via la plateforme cloud de Salesforce, ce qui a entraîné une recrudescence sans précédent des attaques ciblant les comptes Gmail. La faille, bien que ne compromettant pas directement les mots de passe, a permis aux pirates d’accroître leur ingénierie sociale à travers des campagnes de phishing (hameçonnage) et de vishing, qui consistent respectivement à duper les utilisateurs par email ou téléphone.
Des millions d’utilisateurs ont rapporté recevoir des appels où des escrocs, souvent utilisant un numéro commençant par l’indicatif « 650 » de la Silicon Valley, se font passer pour des employés de Google. Leur objectif est d’effrayer les victimes en évoquant une faille de sécurité imminente et de les pousser à réinitialiser leur mot de passe. Une fois ce processus effectué, les pirates réussissent à s’emparer des nouveaux identifiants, verrouillant ainsi les comptes légitimes.
Cet usage croissant de l’ingénierie sociale illustre combien la faille technique de Google ouvre la porte à des pratiques frauduleuses de plus en plus précises. La simple expertise informatique ne suffit plus. Les hackers misent sur la manipulation psychologique pour contourner les dispositifs de sécurité.
Le conseil principal reste la vigilance extrême. Google rappelle que la firme ne contacte jamais ses utilisateurs par téléphone pour signaler un problème de sécurité. Toute demande similaire doit être rejetée catégoriquement. Par ailleurs, il est essentiel de ne jamais partager ses mots de passe ou codes de récupération par téléphone ou email, même si l’interlocuteur semble authentique.
Mesures indispensables pour protéger son compte Google et Gmail après l’alerte de sécurité
Face aux risques majeurs révélés, Google invite ses utilisateurs à adopter plusieurs gestes clés pour sécuriser leurs comptes sur Gmail, Google Photos ou Google Play. Premièrement, changer immédiatement son mot de passe après réception d’une alerte est une précaution incontournable.
Il est également primordial d’activer la double authentification, qui ajoute une couche de sécurité via un code généré sur téléphone, réduisant ainsi grandement les risques d’usurpation même en cas de vol du mot de passe. Ce système est désormais proposé sur tous les services Google, du navigateur Chrome à Android en passant par Google Workspace.
Les utilisateurs doivent aussi vérifier et mettre à jour leurs informations de récupération, notamment adresses email secondaires ou numéros de téléphone, afin que Google puisse alerter en cas d’activités suspectes. L’outil « Security Checkup » mis à disposition par Google est un excellent moyen de passer au crible toutes les vulnérabilités potentielles du compte.
Enfin, pour les profils à haut risque ou professionnels, le programme Advanced Protection Program offre une protection renforcée en limitant notamment les accès aux applications tierces et en demandant des supports physiques de sécurité nommés clés de sécurité USB ou Bluetooth.
Des pistes complémentaires : comment renforcer la sécurité digitale chez soi en 2025
La faille Google et les attaques qui en découlent poussent chaque internaute à revoir ses pratiques de sécurité au-delà des seuls services Google. Prendre conscience des signaux d’arnaques est un premier pas indispensable. Par exemple, il faut se méfier des liens suspects reçus par email ou SMS, notamment ceux provenant d’adresses inconnues ou mal orthographiées.
La gestion des mots de passe est un autre levier crucial. Utiliser un gestionnaire de mots de passe, c’est-à-dire un logiciel sécurisé qui stocke et génère des mots de passe complexes, permet d’éviter le recours à des combinaisons faibles ou répétées sur plusieurs comptes. Plusieurs options gratuites ou premium sont accessibles, compatibles avec Android et Chrome.
Enfin, ne perdez pas de vue qu’une bonne hygiène numérique comprend l’usage fréquent de mises à jour des logiciels, systèmes d’exploitation et applications. Ces mises à jour corrigent non seulement les bugs mais comblent aussi souvent des failles de sécurité connues.
Pour approfondir, nos lecteurs peuvent consulter les conseils pratiques sur la lutte contre la fraude en ligne via ce lien : conseils de sécurité Google et suivre l’actualité des alertes sur RTBF.
