Une attaque d’hameçonnage (phishing) de grande envergure est parvenue plus tôt cette semaine à toucher un million d’utilisateurs de Google Docs environ. Voici ce que vous devez faire, si vous en avez été victime.
Une attaque d’hameçonnage sophistiquée et de grande envergure s’est répandue plus tôt cette semaine sur Google Docs. Les utilisateurs ciblés par cette attaque recevaient un mail émanant d’une personne de contact, qui partageait un document avec eux. Ensuite, ils devaient donner l’autorisation à une version contrefaite de l’appli Google Docs pour lui permettre de passer en revue leur compte. Quiconque cliquait sur ce premier document partagé, envoyait ainsi directement des courriels de spam (pourriels) vers tous ses contacts. Voilà qui était assez ennuyeux pour ces utilisateurs ayant donné à la fausse appli accès à leur compte.
Les pirates recevaient donc en principe des utilisateurs l’autorisation de lire leurs mails, d’examiner leurs contacts et d’envoyer des mails ou d’en effacer, sans jamais avoir besoin de l’information de login proprement dite. Selon Google, l’attaque fut stoppée au bout d’une petite heure, et seul 0,1 pour cent des utilisateurs furent infectés, ce qui représente quand même encore un million de personnes environ.
Que faut-il donc faire si vous en faites partie ou si vous voulez effectuer un double contrôle?
Pour commencer, vous pouvez vous rendre sur la page d’autorisation de votre compte Google, pour voir quelles applis y ont accès. Si Google Docs figure sur la liste, supprimez-la aussitôt en lui interdisant l’accès. Logiquement, Google ne requiert pas d’accès supplémentaire pour votre compte Google.
Même si les pirates n’ont en principe pas réussi à mettre la main sur votre mot de passe, mieux vaut quand même en changer. Par simple sécurité. Vous pouvez ici paramétrer directement une vérification à double niveau, si vous le souhaitez. Cela signifie que Google vous enverra un SMS, si vous voulez vous connecter à partir d’un nouvel appareil. Dès lors, quelqu’un aura besoin tant de votre mot de passe que de votre téléphone, avant de pouvoir se connecter.
Autre point important: si vous êtes de ceux qui conservez des courriels contenant des mots de passe (par exemple parce que vous oubliez régulièrement votre mot de passe LinkedIn ou parce que vous n’utilisez Kayak qu’une fois par an), il est évidemment recommandé aussi de changer tous ces mots de passe.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici