Avertissement urgent : des milliards d’utilisateurs de Gmail menacés par une attaque « no-reply » d’une dangerosité inédite

Depuis la mi-avril 2025, une campagne de phishing d’une ampleur exceptionnelle vise les utilisateurs de Gmail. Les hackers utilisent une faille dans l’infrastructure même de Google pour envoyer des e-mails qui semblent provenir de l’adresse no-reply@google.com. Ces messages, validés par les systèmes de sécurité comme DKIM, SPF et DMARC, atterrissent directement dans la boîte de réception principale, sans aucune alerte ni suspicion de la part de Gmail.

Comment fonctionne cette attaque « no-reply » ?

Les pirates ont recours à une technique d’ingénierie sociale avancée : ils envoient des notifications imitant à la perfection les alertes de sécurité officielles de Google, des demandes de changement de mot de passe ou encore des avertissements juridiques. Le contenu de l’e-mail est soigneusement rédigé, sans faute ni maladresse, et l’expéditeur semble parfaitement légitime.

Le piège se referme lorsque la victime clique sur un lien contenu dans le message. Ce lien renvoie vers un faux site de connexion hébergé sur Google Sites, dont l’URL commence par sites.google.com. L’interface est identique à celle de Google, mais toute information saisie (identifiant, mot de passe) est immédiatement captée par les cybercriminels.

1. Apparence officielle et rassurante : L’e-mail porte tous les signes d’un vrai message Google : expéditeur officiel, signature numérique valide, aucune faute d’orthographe, présentation soignée. Même les utilisateurs expérimentés peuvent se faire piéger.

2. Contournement des filtres de sécurité : En exploitant une faille dans la gestion des signatures DKIM, les hackers modifient des messages légitimes puis les renvoient avec une signature toujours valide. Résultat : l’e-mail passe tous les contrôles et n’est pas détecté comme suspect.

3. Utilisation de Google Sites : Les pages de phishing sont hébergées sur la plateforme officielle de Google, ce qui renforce la crédibilité de l’attaque. L’URL semble sûre, l’environnement est familier… et la vigilance baisse.

Quels sont les risques concrets pour les victimes ?

Si vous tombez dans le piège, les conséquences peuvent être dramatiques :

• Vol de vos identifiants Gmail et accès complet à vos e-mails, contacts, documents et données personnelles.
• Possibilité de piratage de comptes associés (Drive, YouTube, Google Photos, etc.).
• Utilisation de votre adresse pour propager l’attaque à vos proches et collègues.
• Risque de vol d’identité, de fraude bancaire, ou d’accès à des informations professionnelles sensibles.

1. Ne jamais se fier uniquement à l’expéditeur

Même si l’adresse affichée est no-reply@google.com, cela ne garantit pas l’authenticité du message. Les hackers savent désormais usurper cette adresse de façon indétectable.

2. Examiner attentivement les liens

Avant de cliquer, survolez les liens avec la souris. Si l’URL commence par sites.google.com ou semble inhabituelle, soyez extrêmement méfiant. Google n’utilise jamais ce type de redirection pour ses alertes de sécurité.

3. Ne jamais saisir son mot de passe après avoir cliqué sur un lien reçu par e-mail

En cas de doute, ouvrez une nouvelle fenêtre de navigateur et connectez-vous directement à votre compte Google via google.com. Ne passez jamais par un lien reçu par e-mail, même s’il semble officiel.

4. Activer l’authentification à deux facteurs (2FA)

La double authentification ajoute une couche de sécurité supplémentaire. Même si vos identifiants sont volés, les hackers auront besoin d’un code supplémentaire pour accéder à votre compte.

5. Utiliser une solution de sécurité avancée

Un antivirus ou une suite de sécurité capable de détecter les tentatives de phishing peut vous sauver la mise en bloquant les sites frauduleux avant qu’il ne soit trop tard.

Face à l’ampleur de la menace, Google a reconnu l’existence de la faille et travaille activement à la corriger. L’entreprise recommande à tous ses utilisateurs de :

• Vérifier systématiquement l’authenticité des messages reçus.
• Activer les passkeys et l’authentification à deux facteurs.
• Signaler tout e-mail suspect via la fonction « Signaler comme phishing » de Gmail.

Cependant, tant que le correctif n’est pas déployé à l’échelle mondiale, la vigilance de chaque utilisateur reste la meilleure défense.

Cette attaque marque un tournant dans l’histoire du phishing : même les systèmes de sécurité les plus avancés peuvent être contournés par des hackers ingénieux. Ne faites confiance à aucun e-mail sur la seule foi de l’expéditeur, et redoublez d’attention avant de cliquer sur un lien ou de saisir vos identifiants. Partagez cet avertissement autour de vous pour protéger vos proches et collègues. La cybersécurité est l’affaire de tous !