{"id":22778,"date":"2025-05-20T16:38:58","date_gmt":"2025-05-20T14:38:58","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=22778"},"modified":"2025-05-20T16:38:58","modified_gmt":"2025-05-20T14:38:58","slug":"dkim-replay-attack-through-google-oauth","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/dkim-replay-attack-through-google-oauth\/22778\/","title":{"rendered":"Email de Google : les forces de l’ordre s’int\u00e9ressent \u00e0 votre compte"},"content":{"rendered":"

Imaginez que vous receviez un email indiquant que Google a re\u00e7u une citation \u00e0 compara\u00eetre pour divulguer le contenu de votre compte. L\u2019email semble tout \u00e0 fait provenir de Google, et l\u2019adresse de l\u2019exp\u00e9diteur semble \u00e9galement authentique\u00a0: no-reply@accounts.google.com<\/em><\/strong>. Le moins que l\u2019on puisse dire, c\u2019est qu\u2019il y a de quoi \u00eatre d\u00e9contenanc\u00e9 (ou peut-\u00eatre paniqu\u00e9), n\u2019est-ce pas\u00a0?<\/p>\n

Et quelle chance\u00a0! L\u2019email contient un lien vers une page d\u2019assistance de Google qui contient tous les d\u00e9tails. Le nom de domaine indiqu\u00e9 dans le lien semble \u00e9galement authentique et correspond \u00e0 celui de Google\u2026<\/p>\n

Les lecteurs r\u00e9guliers de notre blog ont probablement d\u00e9j\u00e0 devin\u00e9 que nous \u00e9voquons ici un nouveau syst\u00e8me de phishing<\/a>. Et ils ont raison. Cette fois, les escrocs exploitent plusieurs services authentiques de Google pour tromper leurs victimes et rendre les emails aussi convaincants que possible. Comment \u00e7a marche\u2026<\/p>\n

Comment un email de phishing imite une notification officielle de Google<\/h2>\n

La capture d\u2019\u00e9cran ci-dessous pr\u00e9sente l\u2019email qui donne le coup d\u2019envoi de l\u2019attaque\u00a0; et il parvient de mani\u00e8re tr\u00e8s cr\u00e9dible \u00e0 se faire passer pour une alerte du syst\u00e8me de protection des messageries de Google. Le message informe l\u2019utilisateur que l\u2019entreprise a re\u00e7u une citation \u00e0 compara\u00eetre demandant l\u2019acc\u00e8s aux donn\u00e9es de son compte Google.<\/p>\n

\"Email<\/a>

Email frauduleux provenant de l\u2019adresse no-reply@accounts.google.com, d\u00e9guis\u00e9 en citation \u00e0 compara\u00eetre adress\u00e9e \u00e0 Google LLC par les forces de l\u2019ordre, exigeant de Google qu\u2019il produise une copie du contenu du compte Google de l\u2019utilisateur.Source<\/a><\/p><\/div>\n

Le champ \u00ab\u00a0de<\/strong>\u00a0\u00bb contient une adresse Google authentique\u00a0: no-reply@accounts.google.com<\/em><\/strong>. Il s\u2019agit exactement de la m\u00eame adresse que celle utilis\u00e9e pour les notifications de s\u00e9curit\u00e9 de Google. L\u2019email contient \u00e9galement quelques d\u00e9tails qui renforcent l\u2019illusion d\u2019authenticit\u00e9\u00a0: un identifiant de compte Google, un num\u00e9ro de ticket d\u2019assistance et un lien vers le dossier. Et, le plus important, l\u2019email indique au destinataire que s\u2019il souhaite en savoir plus sur le dossier ou contester la citation \u00e0 compara\u00eetre, il peut le faire en cliquant sur un lien.<\/p>\n

Le lien lui-m\u00eame semble tout \u00e0 fait cr\u00e9dible. L\u2019adresse comprend le domaine officiel de Google et le num\u00e9ro de ticket d\u2019assistance mentionn\u00e9 ci-dessus. Et il faut \u00eatre un utilisateur averti pour rep\u00e9rer le pi\u00e8ge\u00a0: les pages d\u2019assistance de Google se trouvent \u00e0 l\u2019adresse support.google.com<\/em><\/strong>, or ce lien m\u00e8ne \u00e0 l\u2019adresse sites.google.com<\/em><\/strong>. Les escrocs comptent bien s\u00fbr sur les utilisateurs qui ne comprennent pas ces aspects techniques ou qui ne remarquent pas la substitution de mots.<\/p>\n

Si l\u2019utilisateur n\u2019est pas connect\u00e9, un clic sur le lien le renvoie \u00e0 une v\u00e9ritable page de connexion au compte Google. Apr\u00e8s l\u2019authentification, l\u2019utilisateur atterrit sur une page \u00e0 l\u2019adresse sites.google.com<\/em><\/strong>, qui imite de mani\u00e8re assez convaincante le site d\u2019assistance officiel de Google.<\/p>\n

\"Fausse<\/a>

Voici \u00e0 quoi ressemble la fausse page d\u2019assistance de Google dont le lien figure dans l\u2019email. Source<\/a><\/p><\/div>\n

Or, il se trouve que le domaine sites.google.com<\/em><\/strong> appartient au service officiel Google Sites<\/a>. Lanc\u00e9 en 2008, il s\u2019agit d\u2019un constructeur de sites Internet assez simpliste, qui n\u2019a rien d\u2019extraordinaire. La nuance importante concernant Google Sites est que tous les sites Internet cr\u00e9\u00e9s au sein de la plateforme sont automatiquement h\u00e9berg\u00e9s sur un sous-domaine de google.com<\/em>\u00a0: sites.google.com<\/em><\/strong>.<\/p>\n

Les pirates informatiques peuvent utiliser une telle adresse pour \u00e0 la fois endormir la vigilance de leurs victimes et contourner les diff\u00e9rents syst\u00e8mes de s\u00e9curit\u00e9, \u00e9tant donn\u00e9 que les utilisateurs et les solutions de s\u00e9curit\u00e9 ont tendance \u00e0 faire confiance au domaine Google. Il n\u2019est pas \u00e9tonnant que les escrocs utilisent de plus en plus Google Sites pour cr\u00e9er des pages de phishing<\/a>.<\/p>\n

Rep\u00e9rer les imitations\u00a0: le diable se cache dans les d\u00e9tails (emails)<\/h2>\n

Nous avons d\u00e9j\u00e0 d\u00e9crit le premier signe d\u2019un email douteux\u00a0: l\u2019adresse de la fausse page d\u2019assistance h\u00e9berg\u00e9e sur sites.google.com<\/em><\/strong>.<\/em> L\u2019en-t\u00eate de l\u2019email peut \u00e9galement servir d\u2019avertissement\u00a0:<\/p>\n

\"Phishing<\/a>

Rep\u00e9rez l\u2019imitation : observez bien les champs \u00ab\u00a0\u00e0\u00a0\u00bb et \u00ab\u00a0exp\u00e9di\u00e9 par\u00a0\u00bb dans l\u2019en-t\u00eate. Source<\/a><\/p><\/div>\n

Les champs auxquels il faut pr\u00eater attention sont \u00ab\u00a0de<\/strong>\u00ab\u00a0, \u00ab\u00a0\u00e0<\/strong>\u00a0\u00bb et \u00ab\u00a0envoy\u00e9 par<\/strong>\u00ab\u00a0. Le champ \u00ab\u00a0de<\/strong>\u00a0\u00bb semble correct\u00a0: l\u2019exp\u00e9diteur est l\u2019adresse email officielle de Google, c\u2019est-\u00e0-dire no-reply@accounts.google.com<\/em><\/strong>.<\/p>\n

Mais voil\u00e0, le champ \u00ab\u00a0\u00e0<\/strong>\u00a0\u00bb juste en dessous r\u00e9v\u00e8le l\u2019adresse r\u00e9elle du destinataire, et celle-ci a l\u2019air malveillante\u00a0: me[@]googl-mail-smtp-out-198-142-125-38-prod[.]net<\/em><\/strong>. L\u2019adresse s\u2019efforce d\u2019imiter une adresse technique de Google, mais la faute de frappe dans le nom de domaine de l\u2019entreprise est tr\u00e8s r\u00e9v\u00e9latrice. De plus, cette adresse n\u2019a absolument rien \u00e0 faire l\u00e0, car ce champ est cens\u00e9 contenir l\u2019adresse email du destinataire.<\/p>\n

Alors que nous continuons \u00e0 examiner l\u2019en-t\u00eate, une autre adresse \u00e9trange ressort dans le champ \u00ab\u00a0envoy\u00e9 par<\/strong>\u00ab\u00a0. Celui-ci n\u2019a clairement rien \u00e0 voir avec Google\u00a0: fwd-04-1.fwd.privateemail[.]com<\/strong>. Une fois de plus, ce genre de non-sens n\u2019a pas sa place dans un email authentique. \u00c0 titre de r\u00e9f\u00e9rence, voici \u00e0 quoi ressemblent ces champs dans une v\u00e9ritable alerte de s\u00e9curit\u00e9 Google\u00a0:<\/p>\n

\"V\u00e9ritable<\/a>

Les champs \u00ab\u00a0\u00e0\u00a0\u00bb et \u00ab\u00a0envoy\u00e9 par\u00a0\u00bb dans une v\u00e9ritable alerte de s\u00e9curit\u00e9 Google<\/p><\/div>\n

Il n\u2019est donc pas surprenant que ces signes subtils ne soient pas per\u00e7us par l\u2019utilisateur moyen, surtout s\u2019il est d\u00e9j\u00e0 effray\u00e9 par les probl\u00e8mes juridiques qui se profilent \u00e0 l\u2019horizon. Pour compliquer les choses, le faux email est en fait sign\u00e9 par Google : le champ \u00ab\u00a0sign\u00e9 par<\/strong>\u00a0\u00bb indique accounts.google.com<\/em><\/strong>. Dans la suite de cet article, nous expliquerons comment les criminels sont parvenus \u00e0 leurs fins, puis nous verrons comment \u00e9viter de se retrouver dans la m\u00eame situation.<\/p>\n

Reconstitution de l\u2019attaque \u00e9tape par \u00e9tape<\/h2>\n

Pour comprendre exactement comment les escrocs ont r\u00e9ussi \u00e0 envoyer un tel email et quelles \u00e9taient leurs intentions, les chercheurs en cybers\u00e9curit\u00e9 ont reconstitu\u00e9 l\u2019attaque<\/a>. Leur enqu\u00eate a r\u00e9v\u00e9l\u00e9 que les pirates informatiques avaient utilis\u00e9 le service Namecheap pour enregistrer le domaine googl-mail-smtp-out-198-142-125-38-prod[.]net<\/em><\/strong> (aujourd\u2019hui r\u00e9voqu\u00e9).<\/p>\n

Ensuite, ils ont \u00e0 nouveau utilis\u00e9 le m\u00eame service pour configurer un compte de messagerie gratuit sur ce domaine\u00a0: me[@]googl-mail-smtp-out-198-142-125-38-prod[.]net<\/strong>. Les criminels ont \u00e9galement enregistr\u00e9 une version d\u2019essai gratuite de Google Workspace sur le m\u00eame domaine. Les escrocs ont ensuite enregistr\u00e9 leur propre application Web dans le syst\u00e8me OAuth de Google et lui ont octroy\u00e9 l\u2019acc\u00e8s \u00e0 leur compte Google Workspace.<\/p>\n

Google OAuth est une technologie qui permet aux applications Web tierces d\u2019utiliser les donn\u00e9es du compte Google pour authentifier<\/a> les utilisateurs avec leur autorisation. Vous avez probablement d\u00e9j\u00e0 entendu parler de Google OAuth comme moyen d\u2019authentification pour des services tiers : c\u2019est le syst\u00e8me que vous utilisez chaque fois que vous cliquez sur le bouton \u00ab\u00a0Se connecter avec Google\u00a0\u00bb. En plus de cela, les applications peuvent utiliser Google OAuth pour obtenir l\u2019autorisation, par exemple, d\u2019enregistrer des fichiers sur votre espace de stockage Google Drive.<\/p>\n

Mais revenons \u00e0 nos escrocs. Apr\u00e8s l\u2019enregistrement d\u2019une application Google OAuth, le service permet d\u2019envoyer une notification \u00e0 l\u2019adresse email associ\u00e9e au domaine v\u00e9rifi\u00e9. Il est int\u00e9ressant de noter que l\u2019administrateur de l\u2019application Web est libre de saisir manuellement n\u2019importe quel texte en tant que \u00ab\u00a0Nom de l\u2019application\u00a0\u00bb, ce qui semble \u00eatre ce que les criminels ont exploit\u00e9.<\/p>\n

Dans la capture d\u2019\u00e9cran ci-dessous, les chercheurs en font la d\u00e9monstration en enregistrant une application portant le nom \u00ab\u00a0Any Phishing Email Text Inject Here with phishing URL\u2026\u00a0\u00bb.<\/p>\n

\"Google<\/a>

Enregistrement d\u2019une application Web avec un nom arbitraire dans Google OAuth : le texte d\u2019un email d\u2019escroquerie avec un lien de phishing peut \u00eatre saisi comme nom. Source<\/a><\/p><\/div>\n

Google envoie alors une alerte de s\u00e9curit\u00e9 contenant ce texte de phishing \u00e0 partir de son adresse officielle. Cet email est envoy\u00e9 \u00e0 l\u2019adresse email de l\u2019escroc sur le domaine enregistr\u00e9 via Namecheap. Ce service permet de transf\u00e9rer la notification re\u00e7ue de Google \u00e0 n\u2019importe quelle adresse. Pour ce faire, il suffit de d\u00e9finir une r\u00e8gle de transfert sp\u00e9cifique et de pr\u00e9ciser les adresses email des victimes potentielles.<\/p>\n

\"Comment<\/a>

Configuration d\u2019une r\u00e8gle de transfert permettant d\u2019envoyer le faux email \u00e0 plusieurs destinataires. Source<\/a><\/p><\/div>\n

Comment vous prot\u00e9ger contre des attaques de phishing comme celle-ci\u00a0?<\/h2>\n

Le but recherch\u00e9 par les auteurs de cette campagne de phishing n\u2019est pas tout \u00e0 fait clair. L\u2019utilisation de Google OAuth pour s\u2019authentifier ne signifie pas que les identifiants du compte Google de la victime sont communiqu\u00e9s aux escrocs. Le processus g\u00e9n\u00e8re un jeton qui n\u2019offre qu\u2019un acc\u00e8s limit\u00e9 aux donn\u00e9es du compte utilisateur, en fonction des autorisations accord\u00e9es par l\u2019utilisateur et des param\u00e8tres configur\u00e9s par les escrocs.<\/p>\n

D\u2019apr\u00e8s la fausse page d\u2019assistance Google sur laquelle atterrit l\u2019utilisateur tromp\u00e9, l\u2019objectif \u00e9tait de le convaincre de t\u00e9l\u00e9charger des \u00ab\u00a0documents juridiques\u00a0\u00bb cens\u00e9s \u00eatre li\u00e9s \u00e0 son dossier. La nature de ces documents reste inconnue, mais il y a de fortes chances qu\u2019ils contiennent du code malveillant.<\/p>\n

Les chercheurs ont signal\u00e9 cette campagne de phishing \u00e0 Google. La soci\u00e9t\u00e9 a reconnu qu\u2019il s\u2019agissait d\u2019un risque potentiel<\/a> pour les utilisateurs et travaille actuellement sur un correctif pour la vuln\u00e9rabilit\u00e9 OAuth. Toutefois, on ne sait pas encore combien de temps il faudra pour r\u00e9soudre le probl\u00e8me.<\/p>\n

En attendant, voici quelques conseils pour vous aider \u00e0 \u00e9viter de tomber dans ce genre de pi\u00e8ge et d\u2019autres pratiques de phishing complexes.<\/p>\n