{"id":23993,"date":"2026-06-16T16:33:22","date_gmt":"2026-06-16T14:33:22","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=23993"},"modified":"2026-06-16T16:33:22","modified_gmt":"2026-06-16T14:33:22","slug":"des-pirates-deguisent-leurs-tentatives-de-phishing-en-notifications-google-appsheet","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/des-pirates-deguisent-leurs-tentatives-de-phishing-en-notifications-google-appsheet\/23993\/","title":{"rendered":"Des pirates d\u00e9guisent leurs tentatives de phishing en notifications Google AppSheet"},"content":{"rendered":"

Ces derni\u00e8res ann\u00e9es, les campagnes de phishing sont devenues nettement plus sophistiqu\u00e9es et convaincantes. Les adresses d\u2019exp\u00e9diteur sont d\u00e9sormais presque identiques \u00e0 celles des vrais emails, les messages sont r\u00e9dig\u00e9s \u00e0 la perfection et les utilisateurs sont appel\u00e9s par leur nom. Mais que faire lorsqu\u2019un email suspect provient d\u2019une adresse email qui semble tout \u00e0 fait l\u00e9gitime\u00a0?<\/p>\n

Ces derniers temps, les pirates exploitent la plateforme Google AppSheet pour lancer des campagnes d\u2019emails en masse provenant d\u2019une adresse officielle li\u00e9e \u00e0 Google. Une fois leur attaque r\u00e9ussie, ils repartent avec les comptes et les donn\u00e9es confidentielles de leurs victimes.<\/p>\n

Dans cet article, nous vous expliquons en d\u00e9tail comment fonctionne cette nouvelle technique de vol de donn\u00e9es et comment vous prot\u00e9ger contre ces attaques de phishing sournoises.<\/p>\n

Google vous propose un emploi. Ou Coca-Cola. Ou peut-\u00eatre m\u00eame Volvo. Vraiment\u00a0?<\/h2>\n

AppSheet est un service de Google permettant de cr\u00e9er des applications sans aucune connaissance en programmation. Les petites entreprises l\u2019utilisent souvent pour automatiser les flux de travail routiniers. Malheureusement, c\u2019est pr\u00e9cis\u00e9ment cette simplicit\u00e9 qui rend AppSheet si attrayant pour les cybercriminels. De nos jours, il suffit de quelques dollars<\/a> et d\u2019une application pour lancer une escroquerie par phishing \u00e0 l\u2019aide de commandes et de modules pr\u00e9d\u00e9finis.<\/p>\n

Le mode op\u00e9ratoire des attaques de phishing visant AppSheet est assez classique. La victime re\u00e7oit un email pr\u00e9tendument envoy\u00e9 par une grande entreprise, et ces messages s\u2019adressent souvent au destinataire par son nom. Il semblerait que les pirates analysent des donn\u00e9es divulgu\u00e9es afin de faire correspondre des noms \u00e0 des adresses email sp\u00e9cifiques.<\/p>\n

Ensuite, les pirates jouent sur les \u00e9motions du destinataire, en recourant soit \u00e0 la carotte, soit au b\u00e2ton. Ils peuvent effrayer la victime en lui envoyant des avertissements urgents qui exigent une r\u00e9action imm\u00e9diate, par exemple \u00ab\u00a0Votre compte sera bient\u00f4t d\u00e9sactiv\u00e9\u00a0\u00bb ou \u00ab\u00a0Activit\u00e9 suspecte d\u00e9tect\u00e9e\u00a0\u00bb. Une autre m\u00e9thode consiste \u00e0 l\u2019attirer avec des app\u00e2ts irr\u00e9sistibles, comme la promesse d\u2019un badge de v\u00e9rification ou d\u2019une invitation \u00e0 un entretien aupr\u00e8s d\u2019un g\u00e9ant de la technologie. Ces faux emails pr\u00e9tendant provenir du service RH sont con\u00e7us pour procurer aux victimes une sensation d\u2019euphorie imm\u00e9diate. Ils donnent l\u2019impression que la candidature du destinataire a d\u00e9j\u00e0 \u00e9t\u00e9 trait\u00e9e en priorit\u00e9 et fortement appr\u00e9ci\u00e9e, laissant entendre qu\u2019une offre d\u2019emploi pourrait lui parvenir tr\u00e8s rapidement.<\/p>\n

Pour la plupart des gens, ce genre de messages ne semble pas suspect. L\u2019email contourne compl\u00e8tement le dossier des spams, et le champ \u00ab\u00a0De<\/em>\u00a0\u00bb affiche exactement le nom de l\u2019entreprise, comme pr\u00e9vu. Malheureusement, cela ne signifie pas pour autant que l\u2019email est authentique\u00a0: les pirates informatiques peuvent indiquer ce qu\u2019ils veulent dans le nom d\u2019affichage. Et soyons honn\u00eates\u00a0: tr\u00e8s peu de gens prennent r\u00e9ellement le temps d\u2019examiner l\u2019adresse email de l\u2019exp\u00e9diteur.<\/p>\n

Dans les campagnes de phishing reposant sur AppSheet, l\u2019exp\u00e9diteur est toujours le m\u00eame\u00a0: noreply{@}appsheet.com<\/strong>. Mais voici le plus incroyable\u00a0: cette adresse est tout \u00e0 fait authentique. Comme ces emails sont directement li\u00e9s \u00e0 l\u2019infrastructure de Google, il y a de fortes chances que les filtres anti-spam standard les laissent passer sans broncher.<\/p>\n

Bien s\u00fbr, pour d\u00e9crocher cet entretien tant convoit\u00e9 ou r\u00e9gler un probl\u00e8me li\u00e9 \u00e0 son compte, la victime clique sur le lien, puis fournit de son plein gr\u00e9 toutes ses donn\u00e9es personnelles sur un site contrefait\u00a0: nom complet, adresse, num\u00e9ro de t\u00e9l\u00e9phone, etc. Les pirates peuvent ensuite vendre les donn\u00e9es ainsi r\u00e9colt\u00e9es sur le Dark Web ou les utiliser pour mener des attaques cibl\u00e9es secondaires<\/a>. Pour couronner le tout, la victime est redirig\u00e9e vers une page de connexion frauduleuse, ce qui permet aux pirates de s\u2019emparer de ses identifiants.<\/p>\n

Voici une description \u00e9tape par \u00e9tape de la mani\u00e8re dont une victime passe de la r\u00e9ception d\u2019un faux email provenant du portail Google Careers \u00e0 la compromission totale de son compte\u00a0:<\/p>\n

\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"\"\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tBonjour, cher candidat ! Pourquoi ne pas cliquer sur le lien vers notre faux site Google pour planifier un entretien ? \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl>
\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"\"\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tLe lien figurant dans l'email redirige vers un site pi\u00e9g\u00e9 au design identique \u00e0 celui de l'original. L'utilisateur est invit\u00e9 \u00e0 remplir un formulaire : il doit indiquer son nom complet, son adresse email professionnelle, son num\u00e9ro de t\u00e9l\u00e9phone et la date souhait\u00e9e pour l'entretien\u2026 \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl>
\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"\"\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\u2026Une fois que la victime a rempli le formulaire, un message lui demande de se connecter \u00e0 l'aide de ses identifiants Google. Toutes ces donn\u00e9es parviennent directement entre les mains des pirates. \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl><\/div>\n

Des campagnes de phishing similaires sont lanc\u00e9es sous le nom d\u2019autres grandes marques technologiques, et les utilisateurs qui communiquent les identifiants de leur compte Apple risquent de perdre non seulement leur compte, mais aussi le contr\u00f4le de tous leurs appareils Apple<\/a>. Les pirates peuvent faire pression sur la victime pour qu\u2019elle se d\u00e9connecte de son identifiant Apple personnel et se connecte \u00e0 un \u00ab\u00a0compte d\u2019entreprise\u00a0\u00bb \u00e0 des fins de v\u00e9rification, qui est en r\u00e9alit\u00e9 un compte Apple qui leur appartient. D\u00e8s que la victime obtemp\u00e8re, les criminels prennent le contr\u00f4le total \u00e0 distance de l\u2019appareil utilis\u00e9, recourant souvent au mode Perdu pour bloquer l\u2019acc\u00e8s \u00e0 la victime et prendre son t\u00e9l\u00e9phone en otage.<\/p>\n

Pour ne rien arranger, les pirates n\u2019ins\u00e8rent pas toujours un lien malveillant dans l\u2019email initial. Ils pr\u00e9f\u00e8rent parfois jouer la carte de la patience\u00a0: ils entra\u00eenent leur victime dans une conversation en lui demandant de r\u00e9pondre et de confirmer son int\u00e9r\u00eat. Ce stratag\u00e8me donne l\u2019impression de discuter avec un v\u00e9ritable recruteur. Et cette m\u00e9thode n\u2019est pas non plus l\u2019apanage de la Silicon Valley. Les pirates informatiques se font souvent passer pour des marques mondialement connues, telles que Volvo ou Coca-Cola. Bien s\u00fbr, il est tr\u00e8s peu probable que les pirates s\u2019int\u00e9ressent au compte Coca-Cola d\u2019un utilisateur, \u00e0 supposer m\u00eame que celui-ci en poss\u00e8de un. L\u2019objectif est tr\u00e8s probablement de d\u00e9rober des donn\u00e9es sensibles ou de convaincre l\u2019utilisateur de se connecter \u00e0 un formulaire de phishing \u00e0 l\u2019aide de ses identifiants Google, Apple, Facebook, etc.<\/p>\n

\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"\"\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tUn \u00ab membre de l'\u00e9quipe RH \u00bb de Coca-Cola prend contact avec la victime pour la f\u00e9liciter, en vantant \u00e0 outrance son expertise et ses r\u00e9alisations, son esprit d'analyse et sa cr\u00e9ativit\u00e9\u2026 Les pirates gardent d\u00e9lib\u00e9r\u00e9ment leurs intentions finales secr\u00e8tes \u2013 qu'il s'agisse de rediriger la victime vers un site de phishing, de prendre le contr\u00f4le total de son compte ou de lui nuire financi\u00e8rement \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl>
\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"\"\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tUn email similaire pr\u00e9tendant provenir de l'\u00e9quipe de recrutement de Volvo \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl><\/div>\n

Vous souhaitez obtenir la certification Meta\u00a0?<\/h2>\n

Bien s\u00fbr, les \u00ab\u00a0jobs de r\u00eave\u00a0\u00bb ne sont pas le seul app\u00e2t utilis\u00e9. Certaines campagnes pr\u00e9voient que le \u00ab\u00a0service d\u2019assistance Facebook\u00a0\u00bb contacte un utilisateur pour lui annoncer qu\u2019il a \u00e9t\u00e9 s\u00e9lectionn\u00e9 pour recevoir le prestigieux badge \u00ab\u00a0Meta Verified\u00a0\u00bb \u2013 une coche bleue habituellement r\u00e9serv\u00e9e aux c\u00e9l\u00e9brit\u00e9s de premier plan et aux grandes marques mondiales. Pour obtenir la coche bleue tant convoit\u00e9e, la victime est redirig\u00e9e vers une page de phishing o\u00f9 elle est invit\u00e9e \u00e0 remplir un formulaire d\u2019identification, avant de fournir l\u2019information la plus pr\u00e9cieuse : son nom d\u2019utilisateur et son mot de passe Facebook. Et tout \u00e7a, bien s\u00fbr, au nom de la s\u00e9curit\u00e9 !<\/p>\n

Ces sites frauduleux sont cr\u00e9\u00e9s dans une grande vari\u00e9t\u00e9 de langues et adapt\u00e9s aux utilisateurs de diff\u00e9rents pays. Voici la version n\u00e9erlandaise.<\/p>\n

\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"\"\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tPour obtenir la coche bleue, l'utilisateur doit fournir des \u00ab informations suppl\u00e9mentaires \u00bb. Si vous d\u00e9passez la date limite de quelques jours seulement, l'offre expire \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl>
\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"\"\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tUne fois que la victime a renseign\u00e9 les champs habituels, \u00e0 savoir son nom, son num\u00e9ro de t\u00e9l\u00e9phone, ses adresses email personnelle et professionnelle, ainsi que sa date de naissance, un message s'affiche pour lui demander son mot de passe Facebook \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl><\/div>\n

Dans d\u2019autres campagnes, les pirates exploitent l\u2019application AppSheet de Google pour semer la panique, en essayant de d\u00e9stabiliser l\u2019utilisateur en lui faisant croire qu\u2019il a enfreint la politique sur la propri\u00e9t\u00e9 intellectuelle de Meta, et en le mena\u00e7ant de fermer d\u00e9finitivement son compte Facebook. Pour faire appel, la victime doit cliquer sur un lien menant \u00e0\u2026 un site de phishing, fournir ses informations personnelles et, bien s\u00fbr, saisir son nom d\u2019utilisateur et son mot de passe Facebook.<\/p>\n

\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"\"\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tPour que cela soit cr\u00e9dible, l'utilisateur est non seulement invit\u00e9 \u00e0 remplir des champs avec ses informations personnelles, mais aussi \u00e0 expliquer en d\u00e9tail pourquoi la d\u00e9cision de fermer le compte \u00e9tait une erreur \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl>
\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"\"\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tEnfin, l'utilisateur est invit\u00e9 \u00e0 confirmer sa demande de recours en se connectant \u00e0 \u00ab Facebook \u00bb. En r\u00e9alit\u00e9, la victime ne fait que transmettre ses identifiants aux pirates \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl><\/div>\n

Comment rep\u00e9rer les tentatives de phishing et prot\u00e9ger vos comptes<\/h2>\n

Malheureusement, les attaques par phishing sont de plus en plus complexes, car les pirates s\u2019approprient r\u00e9guli\u00e8rement la r\u00e9putation de services et de domaines l\u00e9gitimes<\/a>. Voici comment \u00e9viter de tomber dans leurs pi\u00e8ges et prot\u00e9ger vos donn\u00e9es\u00a0:<\/p>\n