Google annonce une série de mesures visant notamment à empêcher la réitération de la campagne de phishing qui a visé sa suite bureautique au début du mois de mai.

L’affaire remonte au début du mois de mai. La suite bureautique de Google a été la cible d’une redoutable campagne de hameçonnage (ou phishing) visant à récupérer frauduleusement les informations personnelles d’internautes. Redoutable, car en plus de s’attaquer à un utilisateur de Docs, le logiciel de traitement de texte proposé par Google, l’attaque avait une dimension virale pour atteindre d’autres usagers.

Alerté par cette campagne de hameçonnage qui se répandait comment une traînée de poudre, Google a très vite pris les dispositions qui s’imposent pour la faire cesser.

On pouvait ainsi lire la déclaration suivante dans un communiqué : « nous avons pris des mesures pour protéger les utilisateurs contre un courrier électronique impliquant Google Docs et avons désactivé des comptes litigieux. Nous avons supprimé les pages factices, fait les mises à jour via la navigation sécurisée et notre équipe qui gère les abus travaille en ce moment pour éviter que ce type d’usurpation ne se reproduise ».

Google

L'accueil de Google.

Source : PhotoMIX

Par la suite, on apprenait que l’attaque avait profité d’une faiblesse dans OAuth, un protocole libre d’identification par services. Plus embêtant, cette faiblesse était ancienne : en effet, une méthode d’hameçonnage proche de celle qui a affecté Google Docs avait été décrite il y a cinq ans. Dans ce scénario, un client OAuth se fait passer pour Google et incite ensuite les usagers à donner les autorisations d’accès requises.

Aujourd’hui, Google annonce de nouvelles règles pour mieux encadrer ce que peuvent faire ou ne pas faire les développeurs qui accèdent et utilisent ses services. En particulier, la firme de Mountain View entend renforcer le contrôle de l’identité des développeurs. La société prodigue également quelques conseils, comme pour nommer une application web, et explique avoir déployé de nouvelles mesures pour repérer les actions malveillantes.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !