Imaginez recevoir un appel prétendument de Google vous invitant à changer votre mot de passe, alors qu'il ne s'agit en réalité que d'un pirate cherchant à infiltrer votre boîte mail. En juin 2025, une campagne de vishing (phishing par téléphone) a été orchestrée par des cybercriminels, exploitant un système lié à Google Ads et exposant des informations sensibles de diverses entreprises. Google a depuis confirmé que ces hackers exploitent activement des mots de passe volés pour accéder aux comptes Gmail, augmentant le risque de phishing et de piratage ciblé.

Une Campagne de Vishing Ciblant Google et Salesforce

En juin 2025, le groupe cybercriminel ShinyHunters a mené une attaque ingénieuse contre une instance Salesforce utilisée par Google pour gérer ses données liées à Google Ads. Ce n'était pas seulement une attaque technique ; c’était un classique du social engineering : un faux appel a convaincu un employé de télécharger une version compromise de l'outil Salesforce Data Loader.

Ce malware a ensuite permis d'exfiltrer des données sensibles, incluant des contacts professionnels de petites et moyennes entreprises. Bien que Google ait rapidement limité les accès non autorisés, cet incident souligne une vulnérabilité majeure dans la cybersécurité : la confiance des utilisateurs peut être exploitée pour pénétrer des systèmes hautement sécurisés.

L'Exploitation des Mots de Passe Volés

Google a confirmé que des mots de passe associés à des comptes Gmail compromis sont désormais utilisés par des pirates pour prendre le contrôle de ces comptes. Cela ne signifie pas qu’il y a eu une vaste fuite de données, mais plutôt que les informations volées permettent d'augmenter les tentatives de phishing.

Les attaques profitent souvent de contacts récupérés via des brèches comme celle de Salesforce, les pirates usurpant l'identité de Google pour envoyer des emails ou passer des appels afin de recueillir encore plus d'informations sensibles, rendant ainsi leurs campagnes d'hameçonnage plus crédibles.

Comment le Phishing Devient Plus Dangereux ?

Le phishing, ce piège classique, consiste à pousser un utilisateur à fournir ses identifiants via un message ou un appel. Lorsqu'il s'agit de messages appuyés par des vérités telles que des contacts professionnels réels, le risque s'accroît.

Les cybercriminels individualisent leurs messages en utilisant de vraies informations, rendant ainsi la supercherie beaucoup plus crédible. En conséquence, vous êtes plus susceptible de baisser votre garde face à une sollicitation qui semble authentique, d'autant plus si elle prétend venir de Google.

Des Bonnes Pratiques Indispensables pour Protéger Votre Compte Gmail

Avec cette menace grandissante, il est vital d'adopter une bonne hygiène numérique. Changez régulièrement vos mots de passe et évitez de réutiliser un mot de passe sur plusieurs sites. La sécurité de vos comptes repose sur la qualité et l’unicité de ces mots de passe.

Personnellement, j’utilise un gestionnaire de mots de passe comme Bitwarden ou 1Password. Ces outils aident à générer et stocker des mots de passe robustes sans avoir à les retenir, éliminant ainsi l'envie de réutiliser les mêmes codes.

L'Authentification Multifactorielle : Votre Meilleure Allié

L'authentification à deux facteurs (2FA) est un bouclier essentiel contre les accès frauduleux. Plutôt que de dépendre des SMS, qui restent vulnérables à des attaques comme le SIM swapping, privilégiez une application comme Google Authenticator ou Authy, qui génère des codes temporaires renforçant ainsi la sécurité de votre compte.

De plus, Google propose également les passkeys, une technologie moderne et plus sécurisée que les mots de passe traditionnels. Fonctionnant comme des clés numériques basées sur un chiffrement avancé, elles éliminent la menace des mots de passe compromis.

Une Responsabilité Partagée entre Entreprises et Utilisateurs

L'incident touchant Google et Salesforce illustre que la cybersécurité ne se limite pas aux serveurs ou aux logiciels, mais dépend aussi de la vigilance et de la formation des employés. Salesforce rappelle régulièrement l'importance de la sécurité via l'activation systématique de l'authentification multifactorielle et la restriction des accès.

Cependant, chacun de nous doit également assumer ses responsabilités. Le piratage ne concerne pas que les grandes entreprises, mais tous les utilisateurs connectés. Une simple négligence, comme un mot de passe réutilisé ou une 2FA non activée, peut ouvrir la porte aux cybercriminels.

Les Signes Qui Doivent Vous Alerter

Soyez vigilant face à des appels ou emails urgents prétendant venir de Google pour modifier vos accès.

Attention aux messages contenant des liens vers des pages imitant Google, demandant la saisie d’identifiants ou la réinitialisation de votre mot de passe.

Surveillez les activités inhabituelles sur votre compte, comme des envois d'emails que vous n’avez pas réalisés ou des connexions à partir d'appareils inconnus.

Si vous rencontrez l'un de ces scénarios, agissez rapidement : changez vos mots de passe, activez la 2FA et consultez la page de gestion de sécurité de votre compte Google.

Prêt à Renforcer Votre Défense ?

Ne laissez pas votre compte devenir l'outil de campagnes malveillantes. Restez vigilant, sécurisez vos clés numériques, et faites de la cybersécurité un réflexe quotidien.

Vous êtes donc prêt à faire face à cette nouvelle vague d’attaques ? Si vous avez des questions ou souhaitez en savoir plus, sachez que Google ne vous contactera jamais par téléphone pour demander vos mots de passe. En cas de doute, raccrochez et contactez l’assistance Google directement.

Vérifiez les activités suspectes dans les paramètres de sécurité de votre compte et sachez que les applications d’authentification offrent une sécurité bien plus solide que les SMS.

Adoptez dès aujourd'hui des mesures de sécurité renforcées : c'est le meilleur moyen de prévenir le piratage.