Duquesne Group Duquesne Group

English version
Recherche et Analyse

Pour éclairer les décideurs dans le domaine de la Continuité d'Activité et de la Sécurité de l'Information, Duquesne Group propose ses analyses et réflexions issues de ses réalisations concrètes en clientèle. Observation critique du terrain par nos experts, contacts permanents avec les principaux acteurs du domaine et expérience vécue dans nos missions de conseil sont nos principales sources. Contactez-nous pour en savoir +
French version
Research

To support decision makers in the management and optimisation of information systems, Duquesne Group delivers in-depth analyses of information technologies, their implementations and their markets. Our research is based on critical observation of the market by our analysts and their on-going contacts with the vendor community, together with hands-on, practical experience from our consulting work. Contact us to find out more


Énorme attaque de phishing via Google Docs


Analyse "flash" par notre correspondant aux Etats-Unis : une attaque "phishing" d'un nouveau genre



Énorme attaque de phishing via Google Docs
Encore une fois, nous sommes étonnés par l'ingéniosité presque illimitée des hackers ... mais aussi par le manque de vigilance des victimes.

Hier, le 3 mai 2017, une énorme attaque phishing - s'appuyant sur Google Docs- a fait sensation dans l'après-midi aux Etats-Unis. Comme souvent, "l'arme" du hacker était sophistiquée mais "la porte d'entrée" très simple.

Un de nos correspondants experts - un jeune ingénieur brillant qui réside aux Etats-Unis - a porté cette affaire à notre attention par un mail tard dans la nuit.

Ce qui suit est son analyse "flash" de ce qui est - peut-être -un des plus gros hacks de l’histoire.

L'arme fatale : une application "third party" sur Google Drive

Une application Google Drive "3rd party" avec des permissions énormes (accès à tous vos contacts, accès à tous vos email, y compris pour les envoyer) s'enregistre sur Google Drive.

Malheureusement, il n'y a aucune restriction pour les noms des applications "3rd party", donc l'application se nomme ... "Google Docs".

Bien entendu, cette application a son propre domaine, vers lequel quelqu'un qui en accepte les termes est redirigé.

Une fois arrivée, cette personne laisse le site faire ce qu'il veut (e.g. copier tous les emails de cette personne et envoyer une invite à tout le monde dans les contacts OU les emails de la personne, de la part de la personne).

Lancement de l'attaque

Le hacker crée une adresse https://www.mailinator.com/ (en gros une fausse adresse facilement accessible) et envoie une VRAIE invitation Google Drive pour l'application en question à beaucoup de monde.

Toute personne qui clique sur l'invitation est redirigée vers un VRAI écran de permission Google Drive. (Voir l'image plus bas.)

Si la personne décline, rien ne se passe.

Mais si elle accepte les permissions ... l'arme fatale s'enclenche :
  • redirection au site malicieux de l'application
  • le site peut prendre tous leurs emails
  • le site envoie une VRAIE invite Google Drive à tous leurs contacts
  • l'email est envoyé par la VRAIE personne de sa VRAIE adresse aux nouvelle victimes potentielles

Les conséquences ?

Impossible de savoir avec certitude. Cependant, il est tout à fait possible que le hacker ait maintenant toutes les adresses email (et probablement les titres) de tous les employés de toutes les grandes compagnies qui utilisent Google Drive, et tous les emails de plusieurs dizaines d'employés par société.

Sans compter des milliers (millions ?) de boites de personnes et d'universités etc. qui utilisent Google Drive, ou de gens qui ont des emails professionnels sur leur Gmail personnel.

Le plus gros hack de l'histoire ? En fonction de la capacité de ce site à gérer la bande passante de tous ces emails, c'est bien possible.

Il y a une chance que ce soit le plus gros "corporate leak", "password leak", fuite d'information carte bancaire et certainement attaque phishing de l'histoire.

Le tout facilité par Google, mais sans vraiment rien qui soit une vulnérabilité de leur part.



Ironie du sort

A priori, techniquement le hacker n'a rien volé.

Il a juste accepté des informations et des permissions que les gens lui ont donné de leur plein gré et - s'ils ont lu les permissions demandées par Google Drive pour l'application "3rd party" - en connaissance de cause !

Source; Techcrunch
Source; Techcrunch
Duquesne Group
Jeudi 4 Mai 2017

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Dans la même rubrique :
< >

Mercredi 5 Octobre 2016 - 17:48 Attention : un SMCA n'est pas un PCA !

Vendredi 16 Septembre 2016 - 13:49 Le BIA n'est pas la lettre au Père Noël !


Duquesne Research Newsletter