Skip to main content

Méfiez-vous des commentaires publiés dans Google Docs, certains sont piégés

Google Docs
(Crédit photo: Google)

Google Docs permet de collaborer en temps réel avec ses collègues… sauf quand des hackers sans scrupule s’en mêlent ! Certains ont ainsi trouvé le moyen de tirer parti du logiciel en ligne pour envoyer des liens malveillants à des utilisateurs peu méfiants.

En juin de l'année dernière, des chercheurs de la société Avanan, détenue par Check Point, ont découvert une faille de sécurité au sein du fameux outil bureautique Google. Celle-ci permet d’insérer facilement des liens redirigeant vers des sites de phishing, notamment en utilisant les commentaires des applications Google Workspace - y compris Docs et Slides.  Bien qu'il s'agisse d'une vulnérabilité connue, Google ne l'a pas encore entièrement éradiquée ou atténuée depuis lors.

Depuis décembre 2021, les chercheurs d'Avanan surveillent une nouvelle campagne massive exploitant cette vulnérabilité et ciblant principalement les utilisateurs du service de messagerie Microsoft Outlook.

Des attaques discrètes

Selon un communiqué récent d'Avanan, les pirates informatiques ajoutent ici des commentaires contenant des liens malveillants sur des fichiers Google Docs, transmis aux victimes en utilisant des mentions @. 

Contrairement aux campagnes malveillantes habituelles qui s'appuient sur l’envoi d’e-mails,  dans ce cas précis, Google envoie automatiquement une notification à un utilisateur ciblé. Dans ces dernières, le commentaire complet ainsi que le lien et le texte malveillants apparaissent, sans adresse électronique de l'expéditeur. Seul son nom est indiqué, et il peut aisément tromper la victime si le hacker usurpe l’identité d’un cadre dirigeant de son entreprise - une information généralement rendue publique via la publication d’organigrammes officiels.

Bien que la campagne ait principalement ciblé les utilisateurs de Microsoft Outlook, ils ne sont pas les seuls à avoir été touchés. Avanan a observé que plus de 500 boîtes de réception de 30 entreprises distinctes ont été touchées, les cybercriminels exploitant plus de 100 comptes Gmail différents. Le spécialiste de la cybersécurité a informé Google de cette vulnérabilité au début du mois.

Pour éviter de subir cette attaque ou des campagnes similaires, les utilisateurs de Google Workspace doivent rester aussi vigilants lorsqu'ils consultent des commentaires Google Docs, Sheets et Slides… en évitant de cliquer sur des liens publiés, avant de vérifier leur légitimité.

Anthony Spadafora

After living and working in South Korea for seven years, Anthony now resides in Houston, Texas where he writes about a variety of technology topics for ITProPortal and TechRadar. He has been a tech enthusiast for as long as he can remember and has spent countless hours researching and tinkering with PCs, mobile phones and game consoles.