Gmail avait implémenté il y a maintenant un mois des coches bleues de vérification façon Twitter pour se protéger des tentatives de phishing. Malheureusement, il semblerait que des pirates aient déjà trouvé une solution pour les exploiter.
Ces dernières années, Google s’est efforcé d’empêcher les escroqueries par phishing. À cette fin, Gmail s’est doté de coches bleues vérifiées façon Twitter. Cette nouvelle norme appelée Brand Indicators for Message Identification (BIMI) permet aux entreprises de prouver leur identité et d’afficher leur logo dans leur mails, offrant aux utilisateurs une garantie supplémentaire contre les escrocs.
Toutefois, il semblerait que des pirates aient déjà trouvé un moyen d’exploiter ce système, ce qui suscite de vives inquiétudes. Chris Plummer, un ingénieur en cybersécurité, a découvert cette faille en constatant que des pirates étaient capables de tromper les systèmes d’authentification de Gmail, qui est déjà envahi par des publicités intrusives. Cela leur permet de se faire passer pour des expéditeurs légitimes et de contourner les contrôles de sécurité.
À lire : découvrez comment mieux utiliser toutes les fonctions de Gmail grâce à ces astuces.
Google reste sourd aux alertes de phishing sur Gmail
Chris Plummer a rapidement signalé ce bug à Google dans l’espoir que l’entreprise se penche sur cette faille critique. Malheureusement, Google a fermé le rapport, affirmant qu’il s’agissait d’un “comportement intentionnel” de son service de courrier électronique. Frustré par cette réponse, Chris Plummer a partagé ses découvertes sur Twitter, où ses résultats ont rapidement attiré l’attention.
Dans un tweet, l’ingénieur en cybersécurité déclare :
Il y a très certainement un bogue dans Gmail qui est exploité par les escrocs pour réaliser ce genre d’opération. J’ai donc soumis un bogue que Google a paresseusement fermé en disant qu’il ne serait pas corrigé, qu’il s’agissait d’un “comportement intentionnel”. Effectivement un escroc qui se fait passer pour UPS d’une manière aussi convaincante le fait intentionnellement, mais pas pour autant légalement.
Bien que Google n’ait pas réagi à ces découvertes, l’indignation suscitée pourrait inciter l’entreprise à réévaluer son rejet initial de la question. La capacité à différencier les sources authentiques des sources frauduleuses est cruciale pour protéger les informations personnelles et éviter les escroqueries. La norme BIMI semblait fournir une réponse adéquate à cela, mais si elle est exploitée par des pirates, le risque d’arnaque est démultiplié. D’autant plus sur montre connecté, où Gmail sera utilisable directement grâce à Wear OS 4, car il est difficile d’y procéder à des manipulations de vérification.
À lire : Gmail : comment ajouter une adresse mail supplémentaire à son compte ?
