Des hackers russes ont trouvé la parade à la double authentification de Gmail. Leur technique ? Une arnaque par e-mail, patiente et ultra-crédible, qui vous convainc de leur donner vous-même un « mot de passe d’application ». C’est une clé qui leur ouvre la porte de tout votre compte, rendant votre sécurité à deux facteurs totalement inutile.
Vous recevez un e-mail très officiel. Une invitation du Département d’État américain. Tout semble légitime, les adresses en copie sont correctes. Vous baissez votre garde. Et sans le savoir, vous venez de faire le premier pas dans un piège diabolique. Un piège conçu par des hackers d’élite pour voler l’intégralité de votre compte Gmail, même s’il est protégé par la plus forte des sécurités : la double authentification.
Comment se déroule ce piège psychologique ?
L’attaque est un modèle du genre. Pas de virus, pas de faille technique, juste de la manipulation. Les pirates, probablement liés au groupe russe APT29 (ou Cozy Bear), ne sont pas pressés. Ils instaurent un climat de confiance avec leur cible, souvent un universitaire ou un critique du régime russe localisé aux USA. Après plusieurs échanges d’e-mails cordiaux, ils proposent un entretien sur une plateforme « sécurisée ». Pour y accéder, ils envoient un PDF d’apparence officielle. Ce document vous guide pour créer un « mot de passe d’application » et le leur communiquer. C’est là que le piège se referme.
Quelle est cette porte dérobée qui annule votre sécurité ?
Le « mot de passe d’application » est une fonctionnalité méconnue de Google. C’est un code de 16 chiffres conçu à l’origine pour que des applications plus anciennes, incapables de gérer la double authentification, puissent quand même accéder à votre compte. Le problème ? Ce code est un passe-droit. Il est spécifiquement conçu pour contourner la double authentification. En le donnant aux hackers, vous leur donnez une clé qui ouvre la porte de votre compte sans qu’ils aient jamais besoin du code de validation envoyé sur votre téléphone. Votre forteresse de sécurité a désormais une porte de service grande ouverte.
Comment ne pas tomber dans le panneau ?
Cette attaque le prouve : face à une manipulation bien menée, la technologie seule ne suffit pas. La meilleure défense reste votre vigilance. La première règle d’or est simple : ne jamais, au grand jamais, créer et partager un mot de passe d’application. Google le dit lui-même, cette fonction est « inutile dans la plupart des cas ». Pour les personnes les plus exposées, la solution est plus radicale : activer le « Programme de Protection Avancée » de Google. Ce mode de haute sécurité désactive purement et simplement la possibilité de créer ces mots de passe, fermant la porte à double tour.
Source : www.generation-nt.com