En juin 2025, le groupe ShinyHunters est parvenu à accéder à une base de données interne de Google hébergée sur Salesforce, grâce à une ingénieuse attaque par ingénierie sociale sur un employé. Cette faille a exposé des informations de contact, noms et données professionnelles, sans toutefois compromettre les mots de passe eux-mêmes.

La fuite de données a rapidement été exploitée par des cybercriminels pour lancer des campagnes de phishing (e‑mails frauduleux) et vishing (appels usurpant l’identité de Google). Des appels en provenance de numéros au préfixe 650 (lié à Silicon Valley) ont trompé de nombreux utilisateurs en semblant provenir du siège de Google. Des internautes ont ainsi été induits en erreur pour livrer leurs identifiants ou codes de vérification.

Une vulnérabilité préoccupante

Google confirme l’existence d’intrusions réussies dans des comptes Gmail, principalement en raison de mots de passe faibles ou compromis. Selon l’entreprise, seuls 36 % des utilisateurs mettent à jour leur mot de passe régulièrement, ce qui laisse près de 64 % des utilisateurs potentiellement exposés.

Google a donc publié une alerte mondiale exhortant les utilisateurs à changer immédiatement leur mot de passe Gmail. Les recommandations incluent :

  • Utiliser un mot de passe long, complexe et unique
  • Activer la double authentification (2FA), idéalement via une app plutôt que par SMS
  • Adopter les passkeys, un système d’authentification sans mot de passe, particulièrement résistant au phishing
  • Utiliser le Security Checkup de Google pour identifier les vulnérabilités éventuelles
  • Installer les mises à jour urgentes pour Chrome et Android pour combler d’autres failles critiques

Avant même cette nouvelle crise, des chercheurs mettaient en garde contre une gestion laxiste des mots de passe : après un hack de ce type, seuls environ un tiers des utilisateurs changent effectivement leur mot de passe, souvent tardivement ou de manière trop peu sécurisée. D’autres fuites massives (comme l’exposition de 184 millions de comptes en mai 2025) ont déjà souligné la fragilité des mots de passe traditionnels.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités et sur notre WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.