Afficher les titres Masquer les titres
En juin 2025, un acteur lié au groupe ShinyHunters a réussi à accéder sans autorisation à une instance Salesforce utilisée par Google pour gérer les contacts de prospects Google Ads. Cette intrusion, obtenue par des techniques d’ingénierie sociale et de vishing, a permis l’extraction temporaire de certaines informations professionnelles. Aucun mot de passe Gmail n’a été compromis, mais des campagnes de phishing ciblées ont été observées peu après, mettant les utilisateurs en alerte maximale.
Comment les pirates ont ciblé Google
Le piratage a impliqué des employés de Google trompés pour installer ou autoriser un outil sur leurs systèmes. Cela a ouvert un accès à une instance CRM contenant des contacts de prospects Google Ads. D’après les informations communiquées début août, seules des données de contact professionnelles telles que les noms d’entreprises, numéros de téléphone et notes commerciales ont été copiées. L’accès a rapidement été révoqué après la découverte de l’intrusion.
« Le risque principal n’est pas un piratage direct des comptes Gmail, mais une multiplication des tentatives de phishing, » explique un porte-parole de Google. « Les emails ou appels frauduleux peuvent se faire passer pour Google ou ses partenaires afin de soutirer mots de passe, codes de sécurité ou autorisations OAuth. »
Les conséquences pour les utilisateurs
Pour les personnes listées dans la base compromise, la menace principale n’est pas la perte immédiate de données Gmail, mais l’augmentation des tentatives d’arnaque. Les pirates peuvent envoyer des emails ou passer des appels se faisant passer pour Google afin de récupérer des informations sensibles. Cette situation rappelle que même un compte sécurisé peut être visé par des tentatives d’arnaque très ciblées.
Les entreprises aussi concernées
Les sociétés utilisant Salesforce sont également sous surveillance. De nombreuses attaques similaires ont été rapportées, ciblant les contacts professionnels. Salesforce publie régulièrement des recommandations de sécurité que toutes les organisations ont intérêt à suivre pour limiter ces risques. Ne pas appliquer ces mesures peut exposer vos informations à des intrusions ou à des vols d’identité professionnelle.
Les bonnes pratiques pour protéger vos comptes
Changer ses mots de passe régulièrement reste pertinent, mais il est surtout essentiel d’utiliser des mots de passe forts et différents pour chaque service. Cela réduit considérablement l’impact d’une fuite sur un site et limite les risques d’attaques de phishing ou de réutilisation d’identifiants volés.
Voici quelques recommandations à suivre pour sécuriser vos comptes :
- Utilisez un gestionnaire de mots de passe indépendant ;
- Évitez les outils intégrés aux navigateurs comme Chrome ;
- Privilégiez des solutions comme Bitwarden, 1Password ou Dashlane pour générer et stocker des mots de passe complexes ;
- Passez à l’authentification via application plutôt que par SMS ;
- Google recommande des apps comme Authy ou Google Authenticator ;
- Adoptez les clés d’accès (passkey) pour remplacer progressivement les mots de passe traditionnels ;
- Vérifiez toujours l’expéditeur des emails et ne cliquez jamais sur des liens suspects ;
- Éduquez vos collaborateurs sur les tentatives de vishing et de phishing.
Pourquoi ces mesures sont efficaces
L’utilisation de mots de passe uniques et complexes protège vos comptes même en cas de fuite sur un autre site. L’authentification via application ou clé d’accès rend l’accès non autorisé beaucoup plus difficile, même si un pirate possède votre mot de passe. Ces pratiques simples réduisent le risque de perdre vos données personnelles ou professionnelles et évitent des frais élevés liés à une intrusion.
Un rappel pour rester vigilant
Si vous utilisez Gmail ou d’autres services Google, la prudence reste de mise. Soyez attentif aux messages suspects et ne partagez jamais vos identifiants ou codes de sécurité. Même si les données sensibles n’ont pas été directement compromises, les tentatives d’arnaque ciblées continuent et peuvent toucher n’importe quel utilisateur.
En appliquant ces conseils, vous pouvez naviguer plus sereinement et réduire fortement le risque d’intrusion. La sécurité numérique est désormais un enjeu quotidien : vigilance, mots de passe forts et outils adaptés permettent de garder le contrôle sur vos informations et de rester protégé contre les pirates.
