Une nouvelle alerte secoue les utilisateurs de Gmail : une base de données contenant des informations sur 2,5 milliards de comptes Gmail et Google Cloud circule sur le dark web, selon des rapports de plusieurs sites spécialisés.
Cette fuite, attribuée en partie au groupe de hackers ShinyHunters, ne contient pas de mots de passe, mais des données comme des noms et contacts, suffisantes pour alimenter des attaques de phishing sophistiquées. Si vous utilisez Gmail, voici ce que vous devez savoir pour sécuriser votre compte.
Cette base de données ne provient pas d’un piratage direct des serveurs de Google, mais d’une compilation de fuites accumulées au fil des années. Les cybercriminels exploitent ces données via des attaques de type « credential stuffing », où ils testent massivement des identifiants volés sur divers services. Le problème ? Si vous réutilisez le même mot de passe ailleurs, un compte compromis peut ouvrir la porte à vos autres services en ligne, comme vos comptes bancaires ou réseaux sociaux.
En parallèle, une vague de phishing ultra-avancée inquiète les experts car des attaquants utilisent des emails frauduleux, signés via DKIM pour sembler légitimes, et des pages hébergées sur Google Sites pour piéger les utilisateurs. Ces messages, parfois déguisés en alertes de sécurité ou en demandes légales, incitent à saisir vos identifiants sur de faux sites. Certains rapports sur Reddit mentionnent même des appels téléphoniques de prétendus employés Google, une tactique appelée « vishing » qui joue sur la confiance des victimes.
Google a réagi en renforçant ses protections et en désactivant les failles exploitées, mais la vigilance reste de mise. Les experts recommandent d’activer l’authentification à deux facteurs (2FA), idéalement avec une clé de sécurité ou une application comme Google Authenticator, car les codes SMS sont vulnérables. Passer aux passkeys, des identifiants liés à votre appareil, est une solution encore plus robuste, car ils résistent aux attaques de phishing, selon Google.
Pour vérifier si votre compte est concerné, utilisez l’outil de sécurité de Google (accessible via les paramètres de votre compte) pour détecter les connexions suspectes. Changez immédiatement votre mot de passe pour un mot unique et complexe, et évitez de cliquer sur des liens dans des emails douteux. Avec 2,5 milliards d’utilisateurs Gmail dans le viseur, mieux vaut agir vite pour protéger vos données personnelles et professionnelles.