Voici comment récupérer votre compte Gmail piraté.

Mise à jour du 9 octobre 2024 : cet article, initialement publié le 7 octobre, comprend de nouveaux conseils sur la manière dont les attaquants contournent les protections 2FA et sur la meilleure façon d’atténuer ces dangers avant qu’un pirate informatique ne puisse exploiter votre compte Gmail ou Microsoft 365.

Recherchez l’un des forums d’assistance Gmail en ligne, à partir des plateformes de médias sociaux telles que le subreddit Gmail ou le site officiel. Aide de la communauté Gmail de Google lui-même, et une question revient sans cesse : mon compte Gmail a été piraté, comment puis-je le récupérer ?

Sans tenir compte des inévitables tentatives douteuses visant à découvrir un moyen magique de pirater le compte de quelqu’un d’autre, la majorité d’entre elles sont probablement de véritables demandes d’aide. Prenons cet exemple, publié sur le subreddit Gmail le 6 octobre, qui est analogue à beaucoup : «Le compte Google d’un de mes amis a été volé. Le pirate informatique a modifié le numéro de téléphone et l’adresse e-mail de récupération.» L’affiche explique que l’ami en question avait activé l’authentification à deux facteurs et demande si quelque chose peut être fait pour récupérer le compte maintenant, « ou est-il cuit ? »

La bonne nouvelle est qu’il est toujours tout à fait possible de récupérer un compte Google même si, comme dans ce cas, le pirate informatique a réussi à contourner ou à modifier la plupart, sinon la totalité, des protections de sécurité et de récupération en place. Même si, comme l’affiche répondait à une solution suggérée, « celui qui a volé le compte a remplacé l’e-mail et le numéro de téléphone de récupération par les siens et a désactivé toutes les autres méthodes de récupération ».

Comment récupérer un compte Gmail volé après qu’un pirate informatique ait tout changé

Google, malgré les avis négatifs de nombreuses personnes apparemment frustrées par le processus, offre une grande aide pour récupérer votre compte Google, même dans le cas où celui-ci serait volé par quelqu’un qui aurait ensuite modifié vos informations de récupération. En effet, il existe toute une section du support Google consacrée à sécuriser un compte « piraté ou compromis ». Je soupçonne que la plupart des gens qui disent que ces étapes ne fonctionnent pas n’ont pas suivi précisément les instructions fournies par Google et ont attendu le temps imparti pour que le processus se termine.

Google fournit de nombreuses aides pour la récupération de compte Gmail Google

Il est conseillé d’utiliser un appareil que vous avez déjà utilisé pour accéder à votre compte Google ou consulter votre Gmail ou un autre service Google. Le même conseil s’applique à un emplacement familier à partir duquel vous avez déjà accédé à votre compte Google. Google recommande d’utiliser le même navigateur, tel que Chrome ou Safari, sur un ordinateur portable ou une tablette si votre smartphone a été volé et de le faire depuis votre domicile ou votre lieu de travail. Cela peut accélérer le processus de récupération en aidant Google à vérifier votre identité.

Vous devez également répondre le plus précisément possible aux questions sur les mots de passe. Cela s’applique même si le pirate informatique a modifié votre mot de passe actuel pour vous empêcher d’accéder à votre compte. « Si on vous demande le dernier mot de passe dont vous vous souvenez », a déclaré Google, « entrez le plus récent dont vous vous souvenez. » Le plus récent sera le mieux, alors utilisez celui à partir duquel les pirates ont changé. « Si vous ne parvenez pas à vous souvenir avec certitude d’un mot de passe précédent : faites de votre mieux », a déclaré Google.

Vous verrez peut-être un message vous indiquant que votre compte est en attente de sécurité. Un délai est souvent mis en place entre la demande de recouvrement et le traitement de cette demande de recouvrement. Même si cela agace certaines personnes, il s’agit d’une mesure proactive, vous devez donc être patient. « Les demandes de récupération de compte peuvent être retardées de quelques heures ou de plusieurs jours », a déclaré Google, « en fonction de divers facteurs de risque ».

Google m’a également informé que lorsqu’il s’agit d’utilisateurs dont les comptes ont déjà été piratés et dont le deuxième facteur et les facteurs de récupération ont changé, il est possible d’utiliser les informations originales dans certains cas. « Notre processus automatisé de récupération de compte permet à un utilisateur d’utiliser ses facteurs de récupération d’origine jusqu’à 7 jours après leur modification », a déclaré le porte-parole, « à condition qu’il les ait configurés avant l’incident ».

Et enfin, si tout le reste échoue et que le titulaire du compte dispose d’un compte YouTube opérationnel, de nombreux utilisateurs ont constaté que contacter l’assistance YouTube, y compris via les réseaux sociaux, leur a souvent permis de recevoir une aide directe pour récupérer le compte. tout semble perdu.

Voici comment les pirates contournent les protections Gmail 2FA en premier lieu

L’un des problèmes soulignés par les utilisateurs de Gmail cherchant de l’aide sur les forums en ligne est que les protections d’authentification à deux facteurs qu’ils ont mises en place ont été modifiées par la personne qui a piraté leur compte Google. Cela soulève plusieurs questions, mais la plus pertinente est peut-être de savoir comment ce processus 2FA a été contourné en premier lieu.

J’ai récemment signalé que les développeurs de logiciels malveillants voleurs d’informations notoires, notamment Lumar, Lumma, Meduza, Rhadamanthys, StealC, Vidar et Whitesnake, ont tous publié des mises à jour prétendant avoir contourné les protections de Google contre le vol de cookies. Certains ont déclaré qu’ils pourraient pirater le compte 2FA en moins de 10 minutes. Ceci malgré le fait que Google ait amélioré les protections trouvées dans Chrome 127 pour inclure le cryptage lié aux applications, qui, à l’instar de macOS et du trousseau, crypte les données liées à l’identité de l’application, introduit pour lutter précisément contre ce type d’attaque.

Ce vol de cookies de votre navigateur, notamment de session, permet aux pirates de contourner efficacement vos protections 2FA. Posséder un cookie qui valide une session utilisateur une fois l’étape 2FA terminée donne à l’attaquant un contrôle total sur cette session – un contrôle total pour modifier vos options de récupération Gmail, 2FA, etc. Alors, que pouvez-vous faire pour atténuer ce type d’attaque ?

Comment Google atténue la menace de vol d’informations sur les cookies de session

Un porte-parole de Google a déclaré : « Ce type d’attaque est bien connu et nous disposons de défenses intégrées, telles que la rotation des cookies à haute fréquence, les informations d’identification de session liées à l’appareil et la réauthentification basée sur les risques, qui assurent la sécurité des utilisateurs. De plus, la première ligne de défense contre de telles attaques consiste à utiliser un système d’exploitation comme ChromeOS qui est sécurisé par défaut, sans vulnérabilités connues pour ce type de malware.

Il est également judicieux d’envisager d’utiliser des mots de passe, que Google contribue à favoriser l’adoption de tous les services en ligne, car ils sont « résistants au phishing et autres attaques en ligne », a déclaré Google, « ce qui les rend plus sécurisés que les SMS, basés sur des applications ». -mots de passe temporels et autres formes d’authentification multifacteur.

Ce ne sont pas seulement les utilisateurs de Google qui sont dans la ligne de mire du vol 2FA

Je ne dirais pas que ce serait bien si seuls les utilisateurs de Gmail étaient ciblés par des attaques de cookies de session, même si les attaques contre un seul groupe d’utilisateurs pourraient être plus faciles à atténuer. La vérité est que l’expérience n’est pas agréable, quel que soit le service que vous utilisez, et cela inclut, selon les derniers rapports de renseignements sur les menaces, Microsoft 365.

Un rapport récemment publié par des chercheurs en sécurité de Sekoia a détaillé une autre menace de vol de cookies de session, de contournement de l’authentification à deux facteurs et d’adversaire au milieu. Celui-ci s’appelle Mamba 2FA et mérite d’être associé au serpent africain dont la morsure est si souvent mortelle, d’après ce que j’ai lu.

L’auteur du rapport, Grégoire Clermont, décrit comment, en mai 2024, l’équipe de détection et de recherche des menaces de Sekoia a été informée d’une campagne de phishing qui semblait tirer parti de la confiance dans Microsoft 365 avec des pièces jointes HTML clonant les pages de connexion M365. « Les pages de phishing étaient capables de relayer certaines méthodes d’authentification multifacteur », a déclaré Clermont. « Au début, ces caractéristiques ressemblaient à la plate-forme de phishing en tant que service Tycoon 2FA, mais une inspection plus approfondie a révélé que la campagne exploitait un précédent kit de phishing d’adversaire inconnu au milieu.

Ce kit de phishing est celui qui a reçu la désignation Mamba 2FA.

En analysant les journaux de détection des menaces de ses propres clients, Sekoia a pu déterminer que plusieurs d’entre eux avaient déjà été ciblés par la campagne Mamab 2FA sur plusieurs mois, « ce qui suggère une menace généralisée ». Et il s’est avéré qu’il était vendu comme un package de phishing en tant que service sur les forums de cybercriminalité du dark web. Sekoia a depuis découvert que le kit de phishing lui-même et l’infrastructure nécessaire à son support ont subi plusieurs modifications significatives.

À partir d’octobre, le kit de phishing n’affichera les pages de connexion Microsoft 365b que s’il a déterminé que le navigateur en question ne dispose pas d’une protection de sécurité automatisée suffisante ou que l’utilisateur ne s’exécute dans aucun type de bac à sable. Si tel est le cas, alors Mamba 2FA est suffisamment intelligent pour les rediriger vers une page Google 404.

Toutefois, si l’utilisateur n’est pas bien protégé, Mamba 2FA affichera l’une des quatre options de vol d’informations d’identification différentes qui imitent soit Microsoft OneDrive, SharePoint Online, une page de connexion Microsoft 365 générique ou, peut-être de manière surprenante, une messagerie vocale qui ensuite également affiche une connexion générique. Une chose est constante : il s’agit d’une menace qui peut voler les cookies de session afin de contourner les protections 2FA telles que les codes à usage unique ou les notifications dans l’application. « Les identifiants volés et les cookies sont instantanément envoyés à l’attaquant via un robot Telegram », a déclaré Clermont.

Le plus inquiétant de tous, et des preuves étaient nécessaires pour expliquer pourquoi vous devriez suivre les conseils d’atténuation déjà énoncés, est à quel point quelqu’un peut entrer à moindre coût dans le monde du contournement 2FA. Utilisant un modèle d’abonnement, le service Mamba 2FA est disponible pour seulement 250 $ pendant 30 jours, un prix très bas si l’on considère la valeur des données qui pourraient être accessibles si un attaquant réussissait. Ce prix comprend l’accès à un robot Telegram « qui leur permet de générer des liens de phishing et des pièces jointes HTML à la demande ».