En bref

Des hackers liés au gouvernement russe ont mené une campagne d’attaques ciblées particulièrement sophistiquée.

Leur technique exploite astucieusement les mots de passe d’application Gmail pour contourner la protection de la double authentification.

Cette opération malveillante s’est déroulée sur une période de trois mois, d’avril à juin 2025. Les attaquants ont principalement visé des chercheurs et intellectuels critiques du régime russe.

Leur méthode repose sur l’envoi de messages d’ingénierie sociale soigneusement élaborés pour manipuler leurs cibles.

Pour mieux comprendre les méthodes utilisées lors de ces attaques, découvrez notre dossier complet sur la phishing et l’impact pour les professionnels exposés.

La découverte de cette nouvelle technique de contournement des protections souligne l’évolution constante des menaces. Les experts recommandent une vigilance renforcée, notamment concernant la gestion des mots de passe d’application et la vérification régulière des accès autorisés dans les paramètres de sécurité Gmail.

Les utilisateurs doivent également rester particulièrement attentifs aux messages inhabituels ou suspects, même lorsque leur compte bénéficie d’une protection par authentification multifacteur.

Cette attaque démontre que même les systèmes de sécurité les plus robustes peuvent être compromis par des techniques d’ingénierie sociale avancées.

Plongée dans une attaque rusée : comment contourner le MFA avec un simple mot de passe d’application ?

La “double authentification” est sur toutes les lèvres, mais un détail peut parfois compromettre toute la protection. 🧩

Une récente attaque ciblant les chercheurs critiques du régime russe nous rappelle que les hackers chevronnés excellent dans l’art de la ruse.

Comment ont-ils réussi à contourner ce fameux second facteur censé nous protéger ?

Le mot de passe d’application : ce maillon faible qu’on oublie (presque) toujours

Un mot de passe d’application est une clé spéciale générée pour connecter une application incompatible avec la double authentification.

Ce détail semble anodin, mais devient une faille majeure entre les mains de pirates bien informés. 🗝️

Les hackers russes ont exploité cette vulnérabilité en envoyant des emails d’apparence officielle imitant des institutions reconnues.

Leur objectif était double : inciter la victime à créer ce mot de passe d’application, puis la manipuler pour qu’elle le partage elle-même.

C’est comme si vous fabriquiez une double clé de votre maison avant de la glisser sous le paillasson d’un cambrioleur. 😅

L’ingénierie sociale, ou l’art de manipuler l’humain (bien plus que la technique)

Cette attaque ne repose ni sur un virus destructeur, ni sur une prouesse technique sophistiquée.

Elle s’appuie sur l’ingénierie sociale : emails soigneusement rédigés, fausse invitation à un espace de travail “sécurisé”, et instructions détaillées pour créer le fameux mot de passe. Les hackers exploitent la confiance, l’urgence simulée ou l’importance présumée du message.

La victime, persuadée d’agir correctement, offre sans le savoir un accès direct à son compte Gmail, même protégé par MFA. Ce constat souligne une réalité cruciale pour toute entreprise : le facteur humain demeure la cible prioritaire des cybercriminels. 👀

Des cibles choisies… et une stratégie à long terme

Cette opération ne visait pas des cibles aléatoires. Les hackers ont sélectionné des profils spécifiques : chercheurs, intellectuels et journalistes connus pour leurs positions critiques envers la Russie.

La campagne s’est étalée sur plusieurs mois, témoignant d’une préparation minutieuse. Chaque approche était personnalisée et progressive.

Nous ne sommes pas face à un spam massif mais à un travail de précision : échanges d’emails personnalisés, détails crédibles comme de fausses adresses du Département d’État américain et des instructions sur mesure.

Cet exemple doit alerter toutes les équipes : la sophistication d’une attaque réside désormais dans la patience, l’adaptation et la psychologie. Dans la réalité d’une PME ou TPE, ce scénario peut toucher n’importe quel collaborateur non sensibilisé.

Pourquoi cette méthode inquiète… et pourquoi elle va se multiplier

En 2025, qui aurait imaginé que les mots de passe d’application existeraient encore et seraient toujours autorisés par certains systèmes ?

Le problème fondamental est qu’ils contournent le MFA : une fois ce sésame obtenu, l’attaquant n’a plus besoin de valider un code ou une notification. C’est comme franchir une porte de service non surveillée alors que l’entrée principale est ultra-sécurisée.

Cette vulnérabilité n’est ni la première ni la dernière. Tant que des outils permettront de contourner les protections établies, les attaquants continueront de les exploiter. Pour les dirigeants de TPE ou responsables IT de PME, la question n’est plus “Est-ce possible chez moi ?” mais “Comment éviter d’être le maillon faible ?” 😬

Vous pouvez approfondir ces aspects dans notre dossier cybersécurité, qui propose des ressources pratiques pour les organisations de toutes tailles.

Les bonnes pratiques POWERiti : concrètes, humaines et efficaces

Chez POWERiti, nous privilégions une approche claire de la sécurité, car le jargon ne protège personne ! Voici nos recommandations essentielles :

• Faire la chasse aux vieux mots de passe d’application : Effectuez régulièrement un tour dans les paramètres de sécurité de Gmail ou Microsoft 365. Désactivez tout ce qui n’est plus nécessaire. 🧹
• Activer les modes de protection avancée : Plusieurs solutions proposent des programmes renforcés qui bloquent la création de mots de passe d’application. Un atout majeur pour les profils à risque ou les entreprises exposées.
• Former, encore et toujours : La technologie est importante, mais rien ne remplace une formation à la cybersécurité régulière sur les pièges de l’ingénierie sociale. Chacun de nos clients reçoit des astuces pratiques pour identifier les signaux d’alerte.
• Auditer régulièrement les accès : Nous recommandons un contrôle trimestriel des comptes et accès, quelle que soit la taille de l’entreprise. Cette vérification permet de repérer rapidement les anomalies, comptes inactifs ou réglages obsolètes.

Et côté cloud/Microsoft 365 : pas d’exception à la règle !

Cette faille ne se limite pas à Gmail. De nombreux environnements cloud, Microsoft 365 en tête, utilisent encore des systèmes similaires pour gérer des applications anciennes ou externes.

Notre conseil : privilégiez les solutions qui n’exigent jamais de mot de passe d’application ou, si c’est inévitable, surveillez étroitement qui crée quoi et pourquoi.

Les PME disposant d’un service IT interne peuvent confier l’audit complet de leur tenant à un partenaire fiable (c’est précisément notre rôle chez POWERiti 😉).

Nous identifions les vulnérabilités, renforçons la sécurité et expliquons les enjeux. Vous conservez le contrôle pendant que nous allégeons votre charge mentale !

Que retenir pour les petites structures et les équipes IT ?

Cette histoire nous rappelle que la sécurité repose avant tout sur la vigilance collective et la rigueur quotidienne.

Les TPE, souvent persuadées que “ça n’arrive qu’aux grands”, figurent parfois parmi les plus vulnérables par manque de temps ou d’accompagnement.

Pour les équipes IT surchargées des PME, surveiller tous les aspects est un défi constant. D’où l’intérêt de s’appuyer sur un infogéreur de confiance pour les tâches essentielles : contrôles, audits, sensibilisation et gestion des accès. L’objectif est de ne pas concentrer la responsabilité de la sécurité sur une seule personne, mais de l’intégrer à la culture d’entreprise.

Une analogie simple : la sécurité IT ressemble à la plomberie d’un immeuble. On remarque rarement les petites fuites, mais on paie très cher l’inondation quand tout cède !

Bonus : les réflexes à adopter (et à partager sans modération)

• Ne jamais partager un mot de passe, même “temporaire” ou “technique”.
• Se méfier des messages qui pressent d’agir vite, surtout s’ils proviennent d’une adresse inconnue ou “officielle” suspecte.
• Toujours vérifier l’historique des accès et des appareils connectés à son compte (3 minutes qui peuvent éviter bien des problèmes). Historique d’accès
• Demander conseil à son prestataire dès le moindre doute.

Face à des attaques de plus en plus sophistiquées, il est essentiel de renforcer la vigilance et la formation en matière de cybersécurité.

Les récents événements démontrent que la menace évolue au-delà des simples failles techniques, exploitant désormais l’ingénierie sociale et la manipulation psychologique des utilisateurs.

Adopter des mesures de prévention robustes devient primordial, notamment la révision régulière des mots de passe d’application et l’implémentation de solutions de protection avancée.

Ces actions concrètes constituent votre première ligne de défense pour sécuriser vos données sensibles.

Ensemble, faisons de la cybersécurité une priorité quotidienne et maintenons une vigilance constante pour éviter que votre entreprise ne devienne la prochaine cible des cybercriminels. 💪

Sources

• https://www.bleepingcomputer.com/news/security/russian-hackers-bypass-gmail-mfa-using-stolen-app-passwords/
• https://www.podcastics.com/podcast/episode/radiocsirt-votre-actu-cybersecurite-du-lundi-23-juin-ep-333-370988/