Home » Sciences et technologies » Google : Bug Numéros de Téléphone et Comptes

Google : Bug Numéros de Téléphone et Comptes

by Louis Girard

Vulnérabilité Google : Numéros de téléphone de récupération exposés

PARIS – 25 Juin 2024 – Une récente vulnérabilité Google a mis en lumière une faille critique qui a exposé les numéros de téléphone de récupération associés aux comptes utilisateurs.L’exploitation de cette faille, découverte par le chercheur en sécurité Brutecat, aurait pu faciliter des attaques de phishing et compromettre la sécurité des données personnelles. L’équipe de Nouvelles du Monde vous détaille les failles, les impacts et la correction apportée, ainsi que les bonnes pratiques à adopter pour sécuriser vos comptes.



Urgent : Une faille de sécurité chez Google exposait les numéros de téléphone de récupération

Une importante vulnérabilité a été découverte dans les systèmes de Google,permettant potentiellement à des acteurs malveillants de forcer les numéros de téléphone associés aux comptes utilisateurs.Cette faille, désormais corrigée, mettait en danger la sécurité des comptes en facilitant les attaques de phishing et d’échange de SIM. L’incident soulève des questions cruciales sur la protection des données personnelles et la réactivité des géants technologiques face aux menaces.

Comment la faille fonctionnait

La méthode d’attaque reposait sur l’exploitation d’une version JavaScript obsolète du formulaire de récupération de nom d’utilisateur de Google. Ce formulaire, dépourvu des protections modernes contre les abus, permettait d’interroger si un numéro de téléphone était lié à un compte Google en se basant sur le nom d’affichage du profil.

Un chercheur en sécurité, connu sous le pseudonyme de Brutecat, a mis en évidence la possibilité de contourner les limitations de débit rudimentaires en utilisant la rotation d’adresses IPv6. Cette technique permettait de générer un grand nombre d’adresses IP uniques pour effectuer des requêtes massives.

Lire aussi  Apple Glitch fait apparaître «Trump» lorsqu'il est dicté «raciste» dans la fonction de voix à texte

De plus, les Captchas, conçus pour empêcher les requêtes automatisées, étaient contournés en substituant un paramètre spécifique par un jeton BotGuard valide, extrait du formulaire compatible JavaScript.

Schéma de l'attaque par force brute sur les numéros de téléphone Google
Schéma simplifié de l’attaque par force brute.

L’outil de force brute développé par le chercheur

Brutecat a développé un outil de force brute (GPB) capable d’itérer à travers des plages de numéros de téléphone en utilisant des formats spécifiques à chaque pays. L’outil filtrait également les faux positifs pour affiner les résultats.

Pour ce faire, il a utilisé la bibliothèque “LibPhonenumber” de Google pour générer des formats de numéros valides, créé une base de données de masques de pays pour identifier les formats de téléphone par région, et automatisé la génération de jetons BotGuard via un navigateur Chrome sans interface graphique.

Avec un taux de force brute de 40 000 requêtes par seconde, il fallait environ 20 minutes pour tester tous les numéros américains, 4 minutes pour le Royaume-Uni et moins de 15 secondes pour les Pays-Bas.

Temps estimé pour forcer les numéros de téléphone par pays
Temps estimé pour forcer les numéros de téléphone par pays.

Récupération de l’adresse e-mail et du numéro partiel

bien que l’adresse e-mail de la cible soit nécessaire pour lancer l’attaque, google l’avait masquée. Brutecat a découvert qu’il pouvait la récupérer en créant un document de studio Looker et en transférant la propriété à l’adresse Gmail de la cible. Le nom d’affichage Google de la cible apparaissait alors sur le tableau de bord du studio Looker.

Pour affiner la recherche parmi les milliers de comptes potentiels avec le même nom de profil, le chercheur utilisait un numéro de téléphone partiel de la cible.Ce numéro partiel était obtenu via le processus de récupération de compte de Google, qui affiche deux chiffres d’un numéro de téléphone de récupération configuré.

Astuce: D’autres services,comme PayPal,peuvent également fournir des indices supplémentaires sur le numéro de téléphone lors des procédures de réinitialisation de mot de passe.

Conséquences potentielles et correction de la faille

La divulgation des numéros de téléphone associés à un compte Google pouvait exposer les utilisateurs à un risque accru d’attaques de phishing ciblées et d’échange de SIM, où les criminels prennent le contrôle du numéro de téléphone de la victime pour accéder à ses comptes.

Lire aussi  Microsoft Teams Copilot obtient un coup de pouce avec les mises à jour de l'IA : ce que nous savons

Brutecat a signalé ses découvertes à Google le 14 avril 2025 via le programme de récompense de vulnérabilité (VRP). Google a initialement considéré le risque comme faible, mais a ensuite reclassé le problème comme “gravité moyenne” et a appliqué des mesures d’atténuation provisoires.Le chercheur a reçu une récompense de 5 000 $ pour sa contribution.

Le 6 juin 2025, Google a confirmé avoir complètement désactivé le point de terminaison de récupération NO-JS vulnérable, mettant ainsi fin à la possibilité d’exploiter cette faille.

Il reste cependant inconnu si cette vulnérabilité a été exploitée de manière malveillante avant sa correction.

Chronologie de la découverte et de la correction de la faille
Date Événement
14 avril 2025 Signalement de la vulnérabilité à Google par Brutecat.
22 mai 2025 Google reclassifie le problème en “gravité moyenne” et applique des mesures d’atténuation.
6 juin 2025 Google désactive le point de terminaison vulnérable.

Sécuriser son compte Google : Les bonnes pratiques

La découverte de cette vulnérabilité souligne l’importance de mettre en œuvre des mesures de sécurité robustes pour protéger son compte Google et ses informations personnelles.

  • Activer la vérification en deux étapes : Cette mesure ajoute une couche de sécurité supplémentaire en exigeant un code de vérification en plus du mot de passe lors de la connexion.
  • Utiliser un mot de passe fort et unique : Évitez d’utiliser le même mot de passe pour plusieurs comptes et optez pour un mot de passe complexe composé de lettres, de chiffres et de symboles.
  • Vérifier régulièrement les paramètres de sécurité : Assurez-vous que vos informations de récupération (adresse e-mail et numéro de téléphone) sont à jour et exactes.
  • Être vigilant face aux tentatives de phishing : Ne cliquez jamais sur des liens suspects et ne communiquez jamais vos informations personnelles à des sources non fiables.
  • Surveiller l’activité de son compte : Google propose un outil permettant de consulter l’historique des connexions à votre compte. Signalez toute activité suspecte.
Lire aussi  Le vent solaire régule probablement la thermosphère d'Uranus

Le Saviez-vous ? Google propose un “Contrôle de sécurité” qui permet d’évaluer rapidement la sécurité de votre compte et de recevoir des recommandations personnalisées.

FAQ : Vulnérabilité Google et sécurité des comptes

Qu’est-ce qu’une attaque par force brute sur un numéro de téléphone ?
Une attaque par force brute consiste à tester un grand nombre de combinaisons possibles de numéros de téléphone jusqu’à trouver la bonne correspondance avec un compte.
Comment puis-je savoir si mon numéro de téléphone a été compromis ?
Soyez attentif aux appels ou SMS suspects, aux tentatives de connexion non autorisées à vos comptes et aux demandes d’informations personnelles inhabituelles.
Que faire si je pense que mon compte Google a été piraté ?
Modifiez immédiatement votre mot de passe,activez la vérification en deux étapes et vérifiez l’activité de votre compte pour détecter toute action suspecte.
Comment puis-je signaler une vulnérabilité de sécurité à Google ?
Google dispose d’un programme de récompense de vulnérabilité (VRP) où vous pouvez signaler les failles de sécurité que vous découvrez.
La vérification en deux étapes protège-t-elle contre toutes les attaques ?
bien que la vérification en deux étapes renforce considérablement la sécurité,elle ne protège pas contre toutes les formes d’attaques,notamment le phishing sophistiqué.

Cette faille de sécurité chez Google met en lumière les défis constants en matière de cybersécurité. Avez-vous déjà été victime d’une tentative de phishing ? Quelles mesures de sécurité utilisez-vous pour protéger vos comptes en ligne ?

N’hésitez pas à partager cet article et à laisser vos commentaires ci-dessous !

Avertissement : Cet article est à titre informatif uniquement et ne constitue pas un conseil en sécurité informatique. Consultez un professionnel pour des conseils personnalisés.

You may also like

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.