Actualités

Gmail sécurité Google recommande la passkey face aux campagnes de phishing

Photo de Claire Morel Claire Morel Envoyer un courriel 03/09/2025Dernière mise à jour : 10/09/2025
0 1 105 5 minutes de lecture
Logo Gmail, sécurité et passkeys
Le logo de Gmail illustre un sujet consacré à l’authentification plus sûre. L’article explique l’adoption de clés d’accès et les bonnes pratiques pour limiter le phishing.

Google clarifie le message adressé aux utilisateurs, il ne s’agit pas d’une alerte générale à changer un mot de passe, mais d’un cap assumé vers une authentification résistante au hameçonnage. L’objectif est de réduire la dépendance au mot de passe et de favoriser la clé d’accès, plus simple et plus sûre au quotidien.

L’essentiel

  • Google corrige les rumeurs et met en avant la clé d’accès « passkey ».
  • La faille chez Salesforce alimente des attaques de vishing et de phishing ciblées.
  • L’authentification à deux facteurs (2FA) reste conseillée, application privilégiée plutôt que SMS.
  • Le mot de passe devient l’exception, la passkey limite le vol d’identifiants.

L’introduction replace les faits dans leur contexte, Google observe une hausse des tentatives d’ingénierie sociale après un incident chez Salesforce, sans compromission de Gmail, et invite à réduire l’usage du mot de passe. Le mouvement s’inscrit dans une stratégie engagée depuis plusieurs années, l’entreprise pousse des méthodes d’accès plus robustes et veut clarifier les consignes pour éviter les effets d’annonce.

Ce qui change pour les utilisateurs

Le cœur du message est simple, l’éditeur privilégie la clé d’accès pour ouvrir la session et fait du mot de passe une solution de repli dans les rares cas nécessaires. Ce virage ne passe pas par une réinitialisation massive imposée, il s’appuie sur des mécanismes déjà présents sur smartphone et ordinateur, empreinte, visage ou code de l’appareil, afin de limiter les mots de passe saisis au quotidien. La recommandation rejoint l’analyse de la presse spécialisée, qui résume la consigne en une idée directe, « arrêter d’utiliser un mot de passe » quand une alternative plus sûre est disponible, comme l’explique l’article de Jason Aten sur Inc.com au sujet de Gmail.

L’autre enjeu tient à la clarté des notifications de sécurité, l’entreprise indique que des messages alarmistes circulent alors qu’aucune alerte globale n’a été envoyée à l’ensemble des comptes. La bonne pratique consiste à vérifier l’état du compte depuis les réglages, à activer l’authentification à deux facteurs via une application et à créer une clé d’accès sur chaque appareil utilisé. Ces gestes réduisent la surface d’attaque, ils évitent les formulaires contrefaits et neutralisent les collectes d’identifiants qui s’appuient sur la tromperie.

Contexte et précédents

L’inquiétude récente découle d’un incident chez Salesforce et de campagnes menées par un groupe suivi sous le nom UNC6040, qui utilisent des appels d’assistance simulés pour pousser des victimes à autoriser une application connectée. Ce procédé contourne la vigilance en se présentant comme un support interne crédible, ce qui alimente des extorsions et des vols de données dans des environnements d’entreprise. Ces techniques sont décrites par des analystes de Google, qui documentent les accès obtenus, les scénarios téléphoniques et l’usage d’outils modifiés, une synthèse utile se trouve dans l’analyse de Google Threat Intelligence sur les attaques de phishing.

Ce contexte explique la multiplication de messages plausibles, noms de collègues, prestataires ou projets peuvent être cités pour créer une illusion de proximité. L’utilisateur moyen n’a pas de lien direct avec Salesforce, pourtant des métadonnées suffisent à composer un courriel crédible qui imite un processus de sécurité. D’où la position de Google, qui recentre l’attention sur des habitudes d’hygiène claires, vérification hors bande des demandes sensibles, refus de communiquer un mot de passe au téléphone, usage d’une clé d’accès pour éliminer la saisie d’un secret réutilisable.

Chiffres et repères

Gmail reste une cible privilégiée par son ampleur, la base dépasse les deux milliards d’utilisateurs et concentre mécaniquement les tentatives opportunistes. Dans ce paysage, un mot de passe même long et unique ne protège pas contre la tromperie si l’utilisateur est redirigé vers un site contrefait, alors qu’une clé d’accès n’est pas partageable et ne transite pas sur le réseau. Le principe tient en une phrase, l’épreuve cryptographique se déroule localement sur l’appareil, la clé privée ne quitte jamais le téléphone ou l’ordinateur, ce qui réduit considérablement les risques de vol d’identifiants pendant une attaque.

Le cap de l’éditeur s’inscrit dans la durée, l’option « passkey » est proposée par défaut aux comptes personnels et gagne en intégration dans les applications mobiles. L’entreprise a détaillé ce choix dans ses communications publiques, elle met en avant la simplicité à l’usage et la résistance au phishing de ce mode d’authentification. Un billet de référence présente ce basculement et rappelle que l’on peut créer des clés d’accès sur plusieurs appareils pour éviter les blocages, les principes sont résumés dans la présentation des passkeys par Google.

Retombées concrètes pour entreprises et particuliers

Pour un particulier, la marche à suivre tient en trois étapes, créer une clé d’accès sur le smartphone et l’ordinateur utilisés, activer une authentification à deux facteurs via une application plutôt que par message texte, revoir enfin les appareils et applications autorisés dans le tableau de bord de sécurité. Ces gestes quotidiens limitent les accès inattendus et facilitent la récupération en cas d’incident. Le réflexe complémentaire consiste à éviter toute saisie de mot de passe après un lien reçu par courriel, mieux vaut ouvrir un nouvel onglet et se connecter depuis un signet connu pour garder la maîtrise du contexte.

Pour une équipe en entreprise, le sujet dépasse la boîte de réception, il implique les outils connectés et les processus de support. Il est utile de formaliser une procédure d’escalade pour les demandes sensibles, d’interdire l’installation d’applications non approuvées et de rendre la passkey accessible à l’ensemble des collaborateurs, notamment pour les comptes à privilèges. Les clarifications récentes publiées par l’éditeur rappellent que les protections actuelles restent efficaces et que la bonne réaction consiste à renforcer les méthodes d’accès, un message condensé dans la mise au point de Google Workspace sur les prétendues alertes généralisées.

Que faut-il surveiller ensuite

Dans les prochaines semaines, l’attention portera sur l’élargissement des passkeys à davantage d’environnements, ainsi que sur les parcours de récupération qui doivent rester simples sans réintroduire les faiblesses du mot de passe. Les administrateurs ont intérêt à suivre les options offertes aux comptes professionnels, certains paramètres de domaine permettent d’autoriser l’ouverture de session sans mot de passe, ce qui accélère l’adoption à l’échelle d’une organisation. Une veille régulière sur les consignes de sécurité et les outils de vérification reste souhaitable, l’écosystème évolue et les méthodes d’attaque s’adaptent.

Le second point de vigilance concerne les campagnes de vishing qui mélangent appels, courriels et faux portails, la parade la plus efficace consiste à supprimer le mot de passe de l’équation et à réduire les décisions prises sous pression. Les utilisateurs peuvent s’exercer à reconnaître les signaux faibles, numéros d’appel inhabituels, urgence artificielle, demande d’accès à distance, puis appliquer les règles de base, fermer le message, vérifier les paramètres du compte et reprendre la main depuis une connexion directe. Ce cadre de réaction transforme une alerte virale en gestes simples et reproductibles, il répond à l’objectif que l’éditeur met en avant, une authentification plus robuste et une surface d’attaque maîtrisée.

À lire aussi sur linformatique.org
  1. Sécurité Gmail : Google alerte face à une vague de phishing plus subtile que jamais
  2. Comment Reddit réagit à sa dernière faille de sécurité
  3. Phishing Gmail : le FBI tire la sonnette d’alarme
Tags
Photo de Claire Morel Claire Morel Envoyer un courriel 03/09/2025Dernière mise à jour : 10/09/2025
0 1 105 5 minutes de lecture
Photo de Claire Morel

Claire Morel

Claire Morel — Experte en marketing de contenu, elle allie analyse, psychologie et tendances pour créer des stratégies engageantes, durables et convertissantes.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Microsoft Windows 11 Licence à vie
Microsoft Windows 11
Licence à vie
⭐⭐⭐⭐⭐
Windows 11, plus rapide, plus sûr, plus fluide. Copilot est intégré pour une expérience intuitive.
199,00 $9.97 $
Obtenir cette offre
Bouton retour en haut de la page
Fermer

Adblock détecté

Nous avons remarqué que vous utilisez un bloqueur de publicité. Pour soutenir Linformatique.org et continuer à accéder gratuitement à nos contenus, merci de désactiver votre bloqueur.