Si vous pensez que changer votre mot de passe Google vous protégera des pirates informatiques, détrompez-vous. Un nouveau rapport de la société de sécurité CloudSEK révèle que plusieurs souches de logiciels malveillants peuvent encore accéder à votre compte Google même après la réinitialisation de votre mot de passe.

En octobre 2023, PRISMA, un cybercriminel, a affirmé avoir découvert un moyen de contourner la sécurité des comptes Google et de se reconnecter à un compte compromis même après avoir modifié le mot de passe. La faille permet également au pirate de générer de nouveaux jetons de session et d'accéder aux courriels de la victime, à son stockage sur le cloud et à d'autres services Google.

Depuis lors, au moins six familles de logiciels malveillants ont utilisé cette faille, selon CloudSEK. Il s'agit notamment de Lumma et Rhadamanthys, qui sont connus pour voler des informations sensibles sur les ordinateurs infectés, telles que les identifiants de bureau à distance, les cookies des sites web et les cryptomonnaies. Un autre logiciel malveillant, Eternity Stealer, prévoit également de publier prochainement une mise à jour contenant la faille.

Lire également – Android : ces 13 applications peuvent prendre le contrôle de votre smartphone, désinstallez-les vite !

Voler votre compte Google devient un jeu d’enfant pour certains malwares

La faille fonctionne en volant les jetons de session de la victime, qui sont utilisés pour authentifier l'utilisateur sur les services de Google. Ces jetons sont stockés dans les cookies du navigateur web et peuvent être extraits par des logiciels malveillants qui infectent le PC de l'utilisateur par le biais de spams malveillants ou de téléchargements douteux. Le pirate peut alors utiliser ces jetons pour se connecter au compte de la victime, même si le mot de passe est modifié. Le seul moyen d'empêcher l'exploitation est de se déconnecter complètement de tous les services Google, ce qui invalidera les jetons.

Les chercheurs de CloudSEK ont découvert que l'exploit repose sur un point de terminaison OAuth de Google non documenté appelé “MultiLogin”, qui est utilisé pour synchroniser les comptes Google entre différents services. Ce point d'accès accepte un vecteur d'identifiants de compte et de jetons d'authentification pour gérer des sessions simultanées ou passer d'un profil d'utilisateur à un autre.

Pavan Karthick M, chercheur en intelligence des menaces chez CloudSEK, a déclaré que l'exploit démontre le haut niveau de sophistication des cybercriminels. Karthick a également averti que le chiffrement du trafic entre le logiciel malveillant et MultiLogin rend plus difficile la détection de l'activité malveillante par les mesures de sécurité standard, car le trafic chiffré est plus susceptible d'être ignoré. Il va donc être compliqué pour les experts en cybersécurité de protéger tous les utilisateurs contre cette faille.