Dans un univers numérique saturé d’identifiants, chaque compte
devient une porte d’entrée potentielle vers des données sensibles.
Plus l’écosystème est vaste, plus le moindre point faible peut
provoquer une réaction en chaîne. C’est précisément ce qui se joue
aujourd’hui autour du mot de passe Gmail, cible privilégiée de
campagnes d’ingénierie sociale de plus en plus efficaces. Un simple
appel peut parfois suffire à déclencher une fuite à grande
échelle.
Une brèche inattendue dans la vitrine Google
À première vue, l’attaque n’avait rien d’un coup de force
technologique. En juin 2025, des
cybercriminels ont simplement passé un coup de fil. Au bout du
fil, un employé de Google ciblé via une campagne de vishing
(phishing vocal où des pirates se font passer pour le support
technique). En quelques étapes guidées, l’assaillant a obtenu un
accès à une instance Salesforce utilisée pour gérer les prospects
Google Ads.
Ce n’est qu’en août que Google a reconnu l’intrusion. D’après
Frandroid, les pirates n’ont pas
accédé aux services de Google Ads eux-mêmes, mais ont exfiltré des
informations de contact (noms d’entreprises, numéros, notes
commerciales). Ce type de données, bien que peu sensible en
apparence, constitue un terreau fertile pour lancer des campagnes
de hameçonnage d’autant plus ciblées qu’elles reposent sur une
légitimité apparente.
Le scénario n’est pas isolé. Comme le souligne Cloud Protection, plus de 40
grandes entreprises (dont Adidas, Chanel, Allianz ou Coca-Cola) ont
été visées en 2025 par des attaques similaires centrées sur leurs
environnements Salesforce. Les assaillants, souvent liés aux
groupes Scattered Spider ou ShinyHunters, ne cherchent pas à briser
les portes. Ils exploitent les clés qu’on leur tend. Salesforce ne
propose pas de scanner antivirus intégré, et les accès autorisés
via des apps connectées restent souvent invisibles. L’absence de
surveillance native dans cette infrastructure en fait un point
d’entrée de choix.
Comment un simple mot de passe Gmail ouvre la porte à tout un
réseau
Les données volées dans ces attaques ne sont pas de simples
coordonnées. Elles alimentent des
opérations de phishing sophistiquées visant les identifiants
Gmail, que les cybercriminels convoitent pour leur effet domino.
Une fois un compte compromis, les accès à Google Docs, Drive, Meet
ou aux comptes professionnels connectés tombent rapidement dans
l’escarcelle des attaquants.
Selon The Record, l’outil Data Loader
de Salesforce (conçu pour faciliter les transferts de données) a
été détourné par les groupes UNC6040 et The Com. Ces derniers
appellent les victimes, se font passer pour des techniciens de
Google, et les guident pas à pas vers l’installation d’une version
piégée de l’application. En quelques clics, ils récupèrent des
tokens OAuth valides, contournent l’authentification
à deux facteurs, et aspirent les données sans alerter
personne.
Le mot de passe Gmail devient alors la dernière barrière entre
un pirate et un écosystème entier. Le problème, c’est que cette
barrière est souvent fragile. Beaucoup d’utilisateurs réutilisent
les mêmes identifiants sur plusieurs plateformes, ou se contentent
de mots de passe faibles. Même les protections comme la double
authentification par SMS peuvent être contournées si un attaquant
convainc la victime de partager son code.
Et une fois les données exfiltrées, le compte piraté peut servir
à arnaquer d’autres cibles. C’est ainsi que les attaques s’étendent
d’un utilisateur à un réseau entier, avec une efficacité
redoutable.
Sécuriser l’écosystème avant qu’il ne
soit trop tard
Face à cette
menace croissante, Google et plusieurs experts en cybersécurité
appellent à un changement profond des pratiques. Changer son mot de
passe Gmail régulièrement est utile, mais cela ne suffit plus. Il
faut désormais envisager une hygiène numérique renforcée et des
outils plus robustes.
Le premier réflexe, c’est de bannir les mots de passe faibles ou
réutilisés. Des gestionnaires comme Bitwarden ou 1Password
permettent de générer et stocker des identifiants complexes sans
effort. Ils offrent une alternative bien plus sûre que les
gestionnaires intégrés aux navigateurs, souvent moins protégés
contre les fuites.
Ensuite, abandonner le SMS pour la double authentification
devient une nécessité. Google recommande désormais des solutions
comme Authy ou Google Authenticator. Ces applications limitent les
risques de détournement et rendent la tâche bien plus complexe aux
cybercriminels.
Mais la véritable révolution en cours, c’est l’adoption
des passkeys. Ce système, basé sur des clés cryptographiques
uniques et non transférables, remplace les mots de passe
traditionnels. Une fois configuré, il permet de se connecter sans
rien saisir, en s’appuyant sur l’identification biométrique ou le
terminal de l’utilisateur. Plus sécurisé, plus simple, plus
difficile à contourner.
Salesforce, de son côté, rappelle que la plateforme elle-même
n’a pas été compromise. La faille, ce sont les utilisateurs. Pour y
remédier, l’entreprise recommande de limiter les privilèges des
apps connectées, de restreindre les connexions à certaines plages
IP, et d’activer les alertes de surveillance via son outil
Salesforce Shield.
Les attaques de 2025 auront au moins eu un mérite. Celui de
révéler à quel point la sécurité ne se limite plus à une porte
blindée, mais à la vigilance de chacun. Même les données
considérées comme anodines peuvent, une fois détournées, déclencher
des tempêtes.
