Plus de 2,5 milliards d’utilisateurs de Gmail pourraient être en danger suite à une double menace qui remet en question la sécurité du service de messagerie le plus populaire au monde. D’une part, une fuite de données liée à Salesforce a exposé des informations concernant des millions de comptes. D’autre part, Google a émis une alerte critique concernant un nouveau type d’attaque basé sur l’intelligence artificielle : les « Injections d’Invitations Indirectes » (Indirect Prompt Injections).
L’incident chez Salesforce a été attribué au groupe UNC6040, associé au collectif de cybercriminels ShinyHunters. Il s’agissait d’une opération effectuée en juin, détectée début août par le Google Threat Intelligence Group. La méthode employée n’était pas une exploitation sophistiquée, mais une technique de social engineering appelée vishing, consistant en des appels téléphoniques frauduleux où les attaquants se présentaient comme membres du support technique, piratant ainsi les identifiants de collaborateurs de grandes entreprises, puis accédant à des environnements Salesforce contenant une partie de la base de données de Google.
Les données compromises comprenaient principalement des contacts tels que noms, adresses e-mail et numéros de téléphone, sans que des mots de passe ou identifiants internes ne soient divulgués. Toutefois, cette fuite pourrait être exploitée pour des campagnes de phishing ciblées avec des messages « faux » de Google, sophistiqués et crédibles, augmentant ainsi le risque d’arnaque même auprès d’utilisateurs expérimentés.
Par ailleurs, Google a lancé une alerte concernant une nouvelle forme d’attaque exploitant l’intelligence artificielle : les Injection d’Invitations Indirectes. Ces attaques consistent à cacher des instructions malicieuses dans le corps d’un email, un document partagé ou une invitation de calendrier. Lorsque l’IA intégrée dans Gmail analyse ces contenus, ces instructions peuvent être interprétées comme des ordres valides, entraînant la fuite de données sensibles ou l’exécution d’actions non autorisées, sans que l’utilisateur ne soit obligé d’ouvrir un fichier ou cliquer sur un lien.
Face à ces menaces, plusieurs recommandations sont avancées : ne jamais partager ses codes de vérification ou mots de passe par téléphone ou mail, se méfier de toute urgence artificielle dans les messages, activer la vérification à deux facteurs, vérifier minutieusement les URL, et maintenir ses applications à jour. En ce qui concerne les Injection d’Invitations Indirectes, il est conseillé de rester vigilant en vérifiant les communications de sources inconnues, tout en adoptant des solutions de cybersécurité avancées intégrant la détection d’anomalies.
Ce contexte souligne que, même sans exploits techniques avancés, une simple manipulation humaine ou une erreur peut ouvrir la voie à de graves infiltrations. L’émergence de l’IA en tant que vecteur d’attaque oblige à repenser la sécurité, qui doit désormais combiner technologie, formation et vigilance constante. En 2023, la sécurité numérique ne repose plus uniquement sur la technologie, mais aussi sur la conscience collective face à ces nouvelles formes de menaces.
