Aujourd’hui, dire Google c’est entrer dans un monde dont il est difficile de voir les frontières.
Certains le voient comme un grand frère de mémoire orwellienne, une sorte d’entité qui espionne chacun de nos mouvements, connaît nos goûts et recueille nos données.
Pour les plus optimistes, ses objectifs ne sont qu’économiques, mais pour les plus catastrophistes, Google est diabolique et vise à manipuler et à contrôler la population.
D’autre part, il existe des fanatiques, qui en sont totalement dépendants et profitent de toutes les possibilités et des services que ce moteur de recherche met actuellement à disposition. En bref, il s’agit de personnes qui livrent à Google et à toutes ses branches la totalité de leurs activités sur Internet, c’est-à-dire pratiquement leur vie, sans se poser trop de problèmes, voire même heureuses de le faire.
À ces derniers, dont, soyons honnêtes, nous qui passons tant d’heures devant un moniteur faisons partie, voici l’un des derniers malwares dont on entend parler, découvert par les chercheurs de CloudSEK, qui pourrait causer de graves inquiétudes.
La nouvelle menace
Il s’agit d’une nouvelle menace qui met en danger les comptes Google des utilisateurs.
Il s’agit d’exploiter les cookies tiers pour obtenir un accès non autorisé aux données privées des personnes, en utilisant une méthode assez sophistiquée pour contourner les défenses.
En octobre dernier, un pirate informatique a divulgué sur un groupe Telegram les détails de l’opération, montrant une vulnérabilité liée aux cookies, éléments utilisés par les sites Internet et les navigateurs pour suivre l’expérience des utilisateurs.
Le malware parvient à récupérer les cookies d’authentification Google, permettant aux criminels de contourner même l’authentification à deux facteurs.
Ainsi, une fois qu’un compte a été compromis, les pirates peuvent maintenir un accès continu aux services Google, même à la suite d’un changement de mot de passe par la victime.
Une mauvaise surprise pour les victimes qui se retrouvent pratiquement bloquées sur tous les fronts, tant au travail que dans leurs activités quotidiennes.
Les chercheurs de CloudSEK ont déclaré que les malwares qui volent des informations en abusant de cette fonctionnalité voleront désormais davantage de jetons de Google Chrome.
En plus de tous les cookies d’authentification des sites Google, ces jetons comprennent un jeton spécial qui peut être utilisé pour mettre à jour ou générer de nouveaux jetons d’authentification qui remplacent ceux qui ont expiré, permettant ainsi un accès aux comptes pour une période beaucoup plus longue que celle normalement autorisée.
La réaction de Google
De son côté, Google minimise la situation et rassure les utilisateurs dans une déclaration faite à BleepingComputer :
« Les attaques impliquant des malwares qui volent des cookies et des jetons ne sont pas nouvelles, et nous mettons régulièrement à jour nos défenses contre ces techniques pour protéger les victimes. Dans ce cas précis, Google a pris des mesures pour sécuriser tous les comptes compromis identifiés ».
Le moteur de recherche propose également une solution qui semble assez simpliste à certains : suggérer aux victimes de quitter le navigateur Chrome ou de fermer toutes les sessions actives sur la page g.co/mydevices.
« Pendant ce temps – recommande Google – les utilisateurs doivent continuer à supprimer tous les malwares de leur ordinateur et activer la fonction de Navigation sécurisée avec protection renforcée pour votre compte dans Chrome pour se protéger contre le phishing et les téléchargements de malwares ».
Mais, selon certains, le problème est que la plupart du temps, les victimes ignorent qu’elles ont été infectées par ce type de malware, du moins jusqu’à ce que l’abus devienne évident. Il leur sera donc difficile de comprendre quand effectuer les différentes étapes suggérées par Google.
Le cas d’Orange España
Nous avons connu récemment le cas d’Orange España, deuxième fournisseur de téléphonie mobile ibérique, qui a subi une attaque de ce type le 3 janvier dernier.
Un cybercriminel a réussi à voler à un employé le mot de passe administrateur des appareils réseau, puis à accéder à la table de routage qui régule le trafic de l’entreprise. Cependant, personne ne s’en est aperçu jusqu’à ce que les identifiants soient utilisés pour accéder au compte RIPE1 de l’entreprise.
Selon les informations circulant sur Internet, Google affirme avoir identifié les personnes touchées et les avoir alertées, mais, à part cela, elle n’a pas encore pris d’autres mesures pour résoudre le problème.
Bien qu’il ne s’agisse que d’une interprétation, il semble presque que le géant basé à Mountain View, en Californie, ne sache pas bien quelle direction prendre et qu’il hésite à donner des réponses sûres.
Dans cette situation très nébuleuse et embrouillée, la seule chose claire est que le danger que nos comptes Google soient altérés avec de graves conséquences, surtout dans le domaine professionnel, est assez concret.
En plus de susciter des inquiétudes, cette situation nous incite à porter plus d’attention lors de nos activités en ligne.
La solution
Encore une fois, en dehors des recommandations habituelles de créer des mots de passe forts et de les conserver correctement, la solution réelle et radicale n’a qu’un seul nom : une formation de qualité.
Pour prévenir les mouvements des criminels cachés à chaque recoin virtuel, les entreprises doivent choisir des plateformes de formation à la hauteur du défi actuel : être immunisées contre les cyberattaques et toujours prêtes à se défendre de manière adéquate.
Cet objectif peut être facilement atteint si chaque employé dispose des outils de connaissance et de formation appropriés pour reconnaître et gérer tout type d’attaque.
Il s’agit de l’unique garantie pour une protection efficace et durable de toute l’entreprise.