Publié le 3 janvier 2026 à 08h40. Une nouvelle vague d’attaques de phishing sophistiquées exploite les infrastructures de Google, contournant les systèmes de sécurité traditionnels et ciblant notamment les entreprises manufacturières. Cette évolution marque un changement de paradigme dans la lutte contre la cybercriminalité, où les attaquants privilégient désormais l’utilisation de plateformes légitimes plutôt que la création de leurs propres systèmes.
- Les cybercriminels exploitent les services Google (Google Tasks, Google Cloud Storage) pour diffuser des e-mails de phishing qui passent inaperçus aux filtres de sécurité classiques.
- Ces attaques reposent sur l’usurpation de confiance, en imitant des notifications Google authentiques et en exploitant la réputation de ces services.
- Les défenses traditionnelles, basées sur la réputation des expéditeurs et la détection d’URL malveillantes, s’avèrent inefficaces face à cette nouvelle menace.
Les chercheurs en sécurité ont observé une tendance inquiétante : les attaquants ne cherchent plus à créer de faux domaines ou à pirater des serveurs de messagerie. Ils préfèrent abuser des infrastructures cloud légitimes, comme celles proposées par Google, pour mener à bien leurs attaques. Cette approche leur confère une crédibilité accrue et leur permet de contourner les protections de messagerie habituelles.
Une campagne particulièrement notable, identifiée en décembre 2025, a ciblé les entreprises du secteur manufacturier. Les e-mails se présentaient sous la forme de tâches internes, incitant les destinataires à cliquer sur des boutons tels que « Afficher la tâche » ou « Marquer comme terminé ». Ces liens redirigeaient vers des pages hébergées sur Google Cloud Storage, un espace de stockage en ligne réputé pour sa sécurité.
L’adresse d’expéditeur utilisée dans ces attaques, [email protected], est une adresse Google valide, ce qui rend la détection encore plus difficile. Du point de vue de l’infrastructure, les e-mails étaient impeccables : aucune usurpation d’identité, aucun domaine suspect, aucun en-tête incorrect. Les messages utilisaient l’identité visuelle de Google Tasks, avec des interfaces, des pieds de page et des boutons d’appel à l’action authentiques.
Les attaquants ont exploité le cadre d’intégration d’applications de Google pour envoyer des e-mails bénéficiant de la réputation et de la fiabilité de livraison de Google. Cette méthode s’inscrit dans une tendance plus large, où les plateformes SaaS (Software as a Service) de confiance sont utilisées comme des voies de contournement pour les passerelles de messagerie. Psychologiquement, les messages jouaient sur l’autorité (« tâches pour tous les employés »), l’urgence (« haute priorité » avec un délai) et le manque d’explications pour inciter à une action rapide.
Les systèmes de sécurité de messagerie traditionnels, qui se basent sur la réputation de l’expéditeur, la confiance du domaine, les résultats d’authentification et la détection d’URL ou de pièces jointes malveillantes, se sont avérés impuissants face à cette nouvelle menace. Les e-mails d’attaque répondaient à tous les critères de confiance : l’expéditeur était Google, l’authentification avait réussi, le domaine était approuvé et il n’y avait aucune pièce jointe suspecte.
Des chercheurs de RavenMail ont identifié cette campagne en analysant l’intention et le contexte du flux de travail, plutôt que de se fier uniquement aux informations d’identification de l’expéditeur. Leur analyse a révélé que l’utilisation de Google Tasks pour les vérifications RH est rare et que les actions internes des employés devraient provenir des domaines de l’entreprise. Ils ont également constaté que les URL utilisées, pointant vers Google Cloud Storage, ne correspondent pas au comportement légitime de Google Tasks.
Ce schéma d’abus ne se limite pas à Google Tasks. Des évaluations des menaces ont montré que les attaquants exploitent systématiquement le service d’intégration d’applications de Google Cloud. Une campagne antérieure avait déjà utilisé Google AppSheet, la plateforme d’applications sans code de Google, pour diffuser des leurres de phishing intégrés dans de véritables flux de travail. Dans les deux cas, la tactique sous-jacente est la même : abuser des flux de travail SaaS fiables pour effectuer du phishing sans usurpation d’identité ni malware.
Il est important de souligner qu’il ne s’agit pas d’un problème spécifique à Google. Les attaquants abusent de plus en plus de plateformes fiables telles que Salesforce ou Amazon SES. Les contrôles de sécurité sont optimisés pour les modèles de menaces existants, mais le phishing évolue vers un abus de flux de travail et d’identité. Il s’agit d’un abus, et non d’un piratage – les systèmes de Google n’ont pas été compromis.
Pour contrer cette nouvelle menace, les responsables de la sécurité doivent développer des systèmes de détection capables d’analyser le contexte et les intentions, plutôt que de se fier uniquement aux signaux de confiance statiques. Des articles sur ce sujet sont également disponibles sur Check Point et sur Reddit.
« Les informations fournies dans cet article ont été soigneusement recherchées, mais ne prétendent pas être complètes ou absolument exactes. Elles sont destinées uniquement à titre indicatif et ne remplacent pas les conseils professionnels. L’équipe éditoriale n’assume aucune responsabilité pour les erreurs, omissions ou conséquences découlant de l’utilisation de ces informations. »
