Méfiez-vous des commentaires frauduleux ajoutés à des documents Google

Des chercheurs en sécurité ont découvert une vulnérabilité sur deux services de Google, Docs et Slides. Celle-ci, présentement exploitée par des pirates informatiques, leur permet d’envoyer un lien infecté par courriel via un commentaire ajouté sur un document préalablement partagé.

Le gros avantage et l’une des principales raisons pour laquelle les étudiants et les entreprises aiment œuvrer avec les services en ligne de Google comme Docs, Sheets, Slides et Forms, c’est parce que le travail collaboratif est facile.

En quelques clics, plusieurs personnes peuvent travailler ensemble, apporter des modifications en temps réel, clavarder, et ajouter des commentaires.

Malheureusement, malgré les précautions prises par Google pour éviter que des pirates s’attaquent à leurs programmes, des chercheurs en sécurité de l’entreprise Avanan ont découvert que c’était bel et bien possible et facile de les utiliser à mauvais escient.

Les pirates n’ont qu’à laisser un lien malicieux en commentaire pour que celui-ci nous soit envoyé par courriel. Crédit: Avanan.

Un lien malicieux envoyé directement en courriel

Pour les pirates informatiques, c’est le paradis, alors que leur modus operandi est non seulement d'une simplicité déconcertante, mais surtout très efficace, si bien que selon les chercheurs, plusieurs centaines de personnes auraient déjà été touchées.

Quelle est donc la fameuse stratégie pour envoyer des liens infectés via un Google Doc ou Slides?

Ceux-ci n’ont qu’à créer un document Google Docs ou Slides, mettre un hyperlien infecté et une mention nous invitant à cliquer dessus.

Leur truc ensuite, c’est de surligner leur phrase et leur lien, puis de créer un commentaire. Il leur suffit après d’ajouter un @ dans le commentaire et l'adresse courriel à qui ils veulent l'envoyer.

Dès lors, si on est le destinataire, on reçoit un courriel de Google pour nous dire que l'on a été mentionné dans un commentaire d'un Google Doc ou Slides. On ouvre le courriel et on voit le fameux commentaire avec le lien sur lequel on est invité à cliquer dessus.

Le hic, c’est que seul le nom de la personne ayant commenté est indiqué, pas son adresse courriel. C’est donc très facile pour n'importe qui de se faire passer pour l’un de nos proches ou collègues.

Résultat, on croit que c'est légitime, on clique sur le lien et on s'infecte!

Le fait que le courriel est envoyé par Google fait en sorte qu'aucun filtre ou système d'antivirus ou de défense ne va l'identifier comme étant dangereux, puisque Google est considéré comme étant sécuritaire.

On a fait l'essai avec un lien bidon et on a constaté à quel point c'était facile de l'envoyer par courriel.

Comment éviter d’être victime d’une telle attaque

Au moment d’écrire ces lignes, Google a été notifié de la manière de procéder des pirates informatiques et travaille sur un correctif de sécurité qui pourra les stopper.

En attendant, il faut être encore plus prudent qu’à l’habitude lorsque quelqu’un commente l’un de nos documents d’un lien et être deux fois plus prudent avant de cliquer sur ceux-ci.

La vigilance est vraiment de mise alors qu'on doit bien vérifier l'hyperlien qui nous a été envoyé.

En cas de doute et si vous connaissez la personne, contactez la pour valider que c'est bel et bien elle qui vous a mentionné en commentaire du Google Doc ou Slides.

Dans un cas où l'on se fait avoir et qu'on clique sur un lien infecté, il est primordial de faire un scan avec un antivirus!

Nos choix: antivirus et suites de protection 2022

Vous l'ignorez, mais un virus est peut-être à votre agenda Google!