Aller au contenu principal
Retour aux phishing
PhishingDanger élevé

Phishing Google : faux emails de securite Gmail, Google Drive et compte Google

Apprenez a reconnaitre les faux emails de securite Google, les arnaques Gmail et Google Drive. Guide complet pour proteger votre compte.

Partager

Google est le geant du numerique : Gmail compte plus de 1,8 milliard d'utilisateurs actifs, Google Drive stocke des milliards de fichiers, et un compte Google donne acces a YouTube, Google Photos, Google Pay, Android et bien plus. Cette omnipresence fait de Google la cible numero un des campagnes de phishing dans le monde. Chaque jour, des millions de faux emails imitant Google circulent pour voler des identifiants et des donnees personnelles.

Pourquoi les comptes Google sont-ils si vises ?

Un compte Google est bien plus qu'une simple boite mail. Il centralise une quantite massive de donnees personnelles et financieres :

  • Gmail : Tous vos emails, y compris les confirmations bancaires, les mots de passe oublies et les factures
  • Google Drive : Documents personnels, photos, fichiers professionnels
  • Google Pay : Cartes bancaires enregistrees, historique de paiements
  • Android : Acces a votre telephone, vos applications, votre localisation
  • YouTube : Chaines, abonnements, historique de visionnage
  • Google Photos : L'integralite de vos souvenirs photographiques

| Statistique | Chiffre | |-------------|---------| | Utilisateurs Gmail dans le monde | 1,8 milliard | | Emails de phishing bloques par Gmail par jour | Plus de 100 millions | | Part de Google dans les phishing de marques tech | 27% | | Perte moyenne par compte Google pirate | 500 a 2 000 EUR |

Un pirate qui accede a votre compte Google peut reinitialiser les mots de passe de tous vos autres comptes via la fonction "Mot de passe oublie", ce qui en fait une porte d'entree vers l'ensemble de votre vie numerique.

Les scenarios de phishing Google les plus repandus

1. Fausse alerte de securite Google

C'est le phishing Google le plus courant. Vous recevez un email avec le sujet "Alerte de securite critique" ou "Tentative de connexion suspecte detectee" vous informant qu'une activite inhabituelle a ete detectee sur votre compte.

Comment le reconnaitre :

  • L'email cree une urgence extreme : "Securisez votre compte dans les 24 heures"
  • Le lien ne pointe pas vers accounts.google.com
  • L'adresse d'envoi contient des variantes frauduleuses comme "google-security@mail.com" ou "noreply@google-alert.net"
  • On vous demande de "verifier votre identite" en saisissant votre mot de passe

2. Faux partage Google Drive

Vous recevez une notification indiquant qu'un document a ete partage avec vous sur Google Drive. Le lien mene vers une fausse page de connexion Google ou vers un document contenant un lien malveillant.

Variantes courantes :

  • "Document important partage avec vous"
  • "Facture a consulter"
  • "Photos de l'evenement partagees"
  • Un fichier partage par un contact dont le compte a ete pirate

3. Faux email de stockage Gmail/Drive plein

L'email pretend que votre espace de stockage Google est presque plein et vous propose une "mise a niveau gratuite" ou un "bonus de stockage". Le lien redirige vers un faux formulaire qui collecte vos identifiants.

4. Probleme de paiement Google Play ou YouTube Premium

Un email vous informe que votre moyen de paiement a ete refuse pour un abonnement Google One, YouTube Premium ou un achat Google Play. On vous demande de "mettre a jour vos informations de paiement" via un lien frauduleux.

5. Fausse notification de suppression de compte

L'email menace de supprimer votre compte Google dans un delai tres court (24 a 72 heures) si vous ne "confirmez pas votre identite". Cette technique exploite la peur de perdre des annees d'emails et de fichiers.

6. Phishing via Google Forms et Google Docs

Les escrocs utilisent les vrais services Google pour creer des formulaires ou documents de phishing. Comme le lien provient reellement de docs.google.com ou forms.google.com, il passe souvent les filtres anti-spam. Le formulaire vous demande ensuite vos identifiants ou informations bancaires.

Comment identifier un vrai email Google d'un faux

Les domaines officiels de Google

Les vrais emails de Google proviennent exclusivement de ces domaines :

  • @google.com
  • @accounts.google.com
  • @notifications.google.com
  • @googlecommerce.com (pour les achats)

Tout autre domaine est frauduleux, meme s'il contient le mot "google" :

  • google-security.com -- Frauduleux
  • google-alert.net -- Frauduleux
  • accounts-google-verify.com -- Frauduleux
  • gmail-support.org -- Frauduleux

Verifier directement dans votre compte

La regle d'or : Ne cliquez jamais sur un lien dans un email d'alerte. Rendez-vous directement sur myaccount.google.com en tapant l'adresse dans votre navigateur. Si une alerte de securite est reelle, elle apparaitra dans la section "Securite" de votre compte.

Pour verifier les vraies alertes de securite :

  1. Ouvrez myaccount.google.com/security
  2. Consultez la section "Evenements recents lies a la securite"
  3. Verifiez les "Appareils ayant acces a votre compte"

Les signes d'un faux email Google

  • Salutation generique : "Cher utilisateur" au lieu de votre nom ou adresse email
  • Fautes d'orthographe : Google ne fait pas de fautes dans ses communications
  • Urgence extreme : "Action requise immediatement" ou "Compte supprime dans 24h"
  • Lien suspect : L'URL ne correspond pas a google.com quand vous la survolez
  • Demande de mot de passe : Google ne vous demande jamais votre mot de passe par email
  • Piece jointe : Les vrais emails de securite Google ne contiennent pas de pieces jointes

Le cas particulier du phishing via les services Google

Les cybercriminels exploitent parfois les propres outils de Google pour envoyer des phishing :

Phishing via Google Agenda

Des invitations de calendrier non sollicitees contiennent des liens frauduleux. Elles apparaissent directement dans votre agenda, ce qui leur donne une apparence de legitimite.

Protection : Dans les parametres de Google Agenda, selectionnez "Afficher les invitations uniquement si l'expediteur est connu".

Phishing via Google Chat

Des messages frauduleux envoyes dans Google Chat ou Google Spaces pretendent provenir du support Google ou proposent des offres trop belles pour etre vraies.

Notifications Google Push trompeuses

Des sites web malveillants vous demandent d'accepter les notifications du navigateur, puis envoient de fausses alertes Google directement sur votre ecran.

Que faire si vous avez ete piege

Si vous avez saisi vos identifiants Google

  1. Rendez-vous immediatement sur accounts.google.com (tapez l'adresse manuellement)
  2. Changez votre mot de passe Google
  3. Activez la verification en deux etapes si elle n'est pas deja active
  4. Consultez l'activite recente dans myaccount.google.com/security
  5. Verifiez les appareils connectes et deconnectez ceux que vous ne reconnaissez pas
  6. Verifiez les autorisations d'applications tierces dans myaccount.google.com/permissions
  7. Verifiez les filtres et transferts dans les parametres Gmail (les pirates ajoutent souvent un transfert automatique)

Si vous avez communique des informations bancaires

  1. Contactez votre banque pour faire opposition sur votre carte
  2. Surveillez vos releves bancaires pendant les semaines suivantes
  3. Portez plainte aupres de la police ou de la gendarmerie
  4. Signalez sur la plateforme Pharos (internet-signalement.gouv.fr)

Comment proteger votre compte Google

Activer la verification en deux etapes (2FA)

C'est la mesure de protection la plus importante. Meme si un pirate obtient votre mot de passe, il ne pourra pas se connecter sans le deuxieme facteur.

Options disponibles :

  • Invite Google : Notification sur votre telephone (recommande)
  • Application d'authentification : Google Authenticator ou Authy
  • Cle de securite physique : Cle FIDO/U2F (niveau de securite maximal)
  • SMS : Code envoye par SMS (moins securise, a eviter si possible)

Pour activer la 2FA : Rendez-vous dans myaccount.google.com > Securite > Verification en deux etapes.

Utiliser le Programme Protection Avancee

Pour les personnes les plus exposees (journalistes, militants, dirigeants), Google propose le Programme Protection Avancee qui exige une cle de securite physique et bloque le telechargement d'applications hors Google Play.

Faire le Check-up Securite Google

Google propose un outil gratuit pour verifier la securite de votre compte : myaccount.google.com/security-checkup. Il analyse vos parametres et vous signale les failles potentielles.

Bonnes pratiques quotidiennes

  • Ne reutilisez jamais votre mot de passe Google sur d'autres sites
  • Verifiez regulierement les applications connectees a votre compte
  • Mettez a jour votre numero de telephone et email de recuperation
  • Activez les alertes de securite Google
  • Utilisez un gestionnaire de mots de passe comme Google Password Manager

Ressources officielles

Conclusion

Le phishing Google est redoutable car un compte compromis ouvre la porte a l'ensemble de votre vie numerique. La regle la plus importante est simple : ne cliquez jamais sur un lien dans un email pour gerer votre compte Google. Rendez-vous toujours directement sur myaccount.google.com en tapant l'adresse vous-meme. Combinez cette habitude avec la verification en deux etapes et un mot de passe unique et fort pour une protection optimale.

Articles connexes

Articles similaires

Securiser ses comptes sur les reseaux sociaux : guide complet

Guide pas a pas pour securiser vos comptes Facebook, Instagram, X, TikTok et LinkedIn. Confidentialite, 2FA et faux profils.

Lire

Rancongiciel (ransomware) : comprendre la menace et se proteger

Les ransomwares chiffrent vos fichiers et exigent une rancon. Guide complet pour comprendre et se proteger.

Lire

Faux SMS de votre banque : reconnaitre les alertes de securite frauduleuses

Votre banque vous envoie un SMS d'alerte ? Attention, c'est peut-etre une arnaque. Guide pour distinguer le vrai du faux.

Lire