Ce n’est un secret pour personne qu’au cours des dernières années, Google a travaillé activement pour empêcher les escroqueries par e-mail de phishing. Et conformément à ces efforts, la société a récemment introduit une nouvelle fonctionnalité dans Gmail appelée Brand Indicators for Message Identification (BIMI), qui permet aux entreprises de vérifier leur identité et d’ajouter une coche bleue, offrant aux utilisateurs une couche supplémentaire de protection contre les escrocs. Cependant, il semble que les acteurs de la menace aient déjà trouvé un moyen d’exploiter ce système, ce qui soulève de sérieuses inquiétudes.
Le problème était d’abord découvert par l’ingénieur en cybersécurité Chris Plummer, qui a découvert que les pirates étaient capables de tromper les systèmes d’authentification de Gmail, ce qui leur permettait de se faire passer pour des expéditeurs légitimes et de contourner les contrôles de sécurité. En conséquence, Plummer a rapidement signalé le bogue à Google dans l’espoir qu’il enquêterait sur cette faille critique. Malheureusement, Google a fermé le rapport, affirmant qu’il s’agissait d’un « comportement intentionnel ». Frustré par cette réponse, Plummer s’est rendu sur Twitter pour partager ses conclusions, où le rapport a rapidement attiré l’attention et provoqué une détresse et des inquiétudes généralisées.
« Il y a très certainement un bogue dans Gmail exploité par des escrocs pour y parvenir, j’ai donc soumis un bogue que Ggoogler paresseusement fermé comme « ne résoudra pas – comportement prévu ». Comment un escroc se fait-il passer pour UPS de manière si convaincante », a déclaré Plummer sur Twitter.
Préoccupations généralisées
Bien que Google n’ait pas encore publié de déclaration concernant le rapport de Plummer, le tollé collectif sur les réseaux sociaux pourrait inciter l’entreprise à réévaluer son rejet initial du problème. En effet, en tant qu’utilisateurs, nous comptons sur ces systèmes de vérification pour protéger nos interactions en ligne, et la capacité de différencier les sources authentiques des sources frauduleuses est cruciale pour protéger nos informations personnelles et éviter les escroqueries.
Cependant, jusqu’à ce que Google publie un correctif, les utilisateurs doivent rester vigilants et prendre des mesures supplémentaires pour se protéger des escroqueries potentielles. Ces mesures consistent notamment à se méfier des e-mails demandant des informations sensibles, à s’abstenir d’ouvrir des liens suspects, à revérifier les adresses e-mail et à activer 2FA.
