Gmail : cette technique permet aux pirates de contourner la double authentification

La double authentification est censée renforcer la sécurité des comptes Gmail, mais elle n’est pas infaillible. Des hackers russes ont récemment mis au point une méthode redoutable pour contourner cette protection, en exploitant les mots de passe d’application. Ces codes, générés pour connecter des services comme Outlook ou Thunderbird à Gmail, offrent un accès complet au compte sans déclencher d’alerte de sécurité. Si la victime partage ce code, les pirates peuvent se connecter librement et discrètement.

Une attaque basée sur la manipulation et la ruse

Tout commence par un e-mail parfaitement conçu, se faisant passer pour une administration officielle. Les pirates usurpent l’identité d’organismes gouvernementaux et invitent la cible à participer à une réunion ou une plateforme sécurisée. À l’aide d’un faux guide d’utilisation, la victime est poussée à créer un mot de passe d’application et à le transmettre, pensant suivre une procédure officielle. En réalité, elle vient de remettre l’accès à son compte à des cybercriminels.

Les raisons de l’efficacité de cette technique de piratage

Ce mode opératoire présente de nombreux avantages pour les hackers. Le mot de passe d’application reste valide sur la durée : les pirates peuvent accéder aux e-mails et données sensibles longtemps après l’attaque, sans jamais éveiller l’attention de Google. Leur présence est invisible dans les journaux d’activité et aucune alerte n’est envoyée à l’utilisateur, ce qui rend la détection extrêmement difficile. L’utilisation de proxys et de serveurs privés masque leur localisation, renforçant encore leur anonymat.

Comment se protéger face à ce type d’attaque ?

Pour éviter de tomber dans le piège, il est essentiel de ne jamais partager un mot de passe d’application, même à une entité qui paraît officielle. Google propose un Programme de Protection Avancée interdisant la création de mots de passe d’application et imposant l’utilisation de clés de sécurité physiques, une solution efficace pour les utilisateurs à haut risque.
Pour tous, quelques réflexes suffisent :

• Utiliser un gestionnaire de mots de passe fiable
• Privilégier l’authentification à deux facteurs via une application ou une clé physique
• Éviter les codes 2FA par SMS
• Tester les passkeys, une technologie biométrique plus sûre

Ces précautions permettent de renforcer la sécurité de vos comptes et de limiter considérablement les risques, même face à des pirates particulièrement inventifs. Rester vigilant et s’informer sur les nouvelles techniques de piratage est désormais indispensable pour protéger ses données personnelles.

Cyrille Jeunehomme

CEO d’ACI Technology, je suis passionné par l’innovation IT, la cybersécurité et tout ce qui transforme le quotidien des entreprises. À travers mes publications, je partage ma vision du numérique : une technologie utile, fiable et tournée vers la performance. Mon ambition ? Vous aider à comprendre les enjeux de l’infogérance, du cloud, des réseaux et de la cybersécurité pour faire des choix éclairés et stratégiques. Inspirer, simplifier, sécuriser : c’est la mission que je porte chaque jour auprès des PME.