L’agence américaine de cyberdéfense a averti les utilisateurs des services Google, Microsoft et Apple de sécuriser leurs comptes face à l’évolution des tactiques de piratage. L’agence conseille de changer les mots de passe, de supprimer l’authentification à deux facteurs par SMS et de mettre en œuvre des clés d’accès pour contrer ces menaces. Les pirates informatiques perfectionnent leurs méthodes pour cibler les comptes d’utilisateurs, en intégrant dans leurs programmes des messages automatisés légitimes de Google, Apple ou Microsoft. Ces messages, qui semblent authentiques, servent de vecteur de tromperie, incitant les utilisateurs à divulguer des informations sensibles sans soupçon. Apple a spécifiquement mis en avant l’utilisation de tactiques sophistiquées conçues pour extraire des informations personnelles des utilisateurs. Les attaquants emploient ces stratégies pour obtenir des identifiants de connexion et des codes de sécurité, qui autorisent un accès non autorisé aux comptes. De telles méthodes reposent sur la manipulation psychologique pour contourner les protocoles de sécurité standards. Les incidents du mois dernier illustrent la gravité de ces attaques. Les pirates ont activé les messages de sécurité Apple automatisés sur les appareils des victimes tout en passant des appels téléphoniques. Lors de ces appels, les auteurs se sont fait passer pour des représentants du support Apple, créant ainsi une illusion de légitimité pour extraire des informations. Les titulaires de compte Google sont confrontés à des risques parallèles. Une requête récente sur Reddit décrit un attaquant envoyant des invites de sécurité directement sur le téléphone d’un utilisateur. Le mécanisme implique que toute personne lance un processus de récupération de compte pour l’adresse Google ciblée, ce qui déclenche les notifications automatisées. Ces invites demandent explicitement aux destinataires de les ignorer, à moins que l’utilisateur n’ait lui-même lancé la récupération. Cette protection vise à empêcher toute exploitation, mais les attaquants la contournent en chronométrant précisément leurs actions. Dans le cas documenté de Reddit, l’attaque reflétait les récents incidents d’Apple. Un individu a contacté la victime par téléphone, affirmant son affiliation à « l’équipe de sécurité de Google », coïncidant exactement avec l’arrivée de l’invite automatisée. Cette synchronisation a convaincu la victime de prononcer le code de vérification du message, entraînant la compromission complète de son compte. Apple fournit des conseils clairs pour de tels scénarios. Les utilisateurs recevant un appel téléphonique non sollicité ou suspect d’une personne prétendant appartenir à Apple ou à l’assistance Apple doivent immédiatement mettre fin à l’appel, en évitant toute autre interaction susceptible de révéler des informations d’identification ou des codes. Google renforce ce protocole avec sa propre politique. La société souligne qu’elle n’envoie jamais d’appels téléphoniques aux utilisateurs pour réinitialiser leur mot de passe ou dépanner leur compte. Comme l’a déclaré Google : « Veuillez réitérer à vos lecteurs que Google ne vous appellera pas pour réinitialiser votre mot de passe ou résoudre des problèmes de compte. » Cette communication directe souligne l’engagement de l’entreprise en faveur de la sensibilisation des utilisateurs. Concernant les invites de sécurité inattendues, les utilisateurs doivent vérifier leur origine avant de répondre. Si aucun processus de récupération de compte, de réinitialisation de mot de passe ou de changement d’appareil n’a été lancé par l’utilisateur, ces invites doivent être totalement ignorées. Cliquer sur des liens associés présente un risque d’exposition supplémentaire. Le partage des codes reçus dans de telles invites par e-mail, SMS ou téléphone constitue une vulnérabilité critique. Les entreprises légitimes ne demandent pas ces informations via ces canaux. Toute démarche simultanée tentant de solliciter ces détails signale une attaque en cours, exigeant la cessation immédiate de l’engagement pour protéger le compte.
