Une coalition criminelle a ciblé Google en compromettant son portail réservé aux forces de l’ordre, tandis qu’une nouvelle plateforme de phishing-as-a-service baptisée VoidProxy permet de contourner la double authentification pour dérober identifiants et cookies de session. Deux menaces distinctes qui confirment l’intensification des attaques contre les géants du numérique.
Google et Microsoft font face à une double menace qui illustre l’évolution rapide du cybercrime. D’une part, le groupe criminel Scattered Lapsus$ Hunters affirme avoir infiltré un portail sensible utilisé par Google pour répondre aux réquisitions judiciaires. D’autre part, les chercheurs en cybersécurité ont découvert VoidProxy, une plateforme de phishing accessible par abonnement, conçue pour déjouer même l’authentification multifactorielle.
Le portail LERS (Law Enforcement Request System) de Google, destiné aux demandes officielles d’accès aux données des utilisateurs par les autorités, a été visé. Les cybercriminels affirment avoir créé un compte frauduleux leur donnant accès à l’interface. Google reconnaît l’incident mais précise que le compte a été rapidement désactivé, sans qu’aucune donnée n’ait été consultée ni qu’aucune demande n’ait été effectuée.
Si l’attaque n’a pas eu de conséquences directes, elle démontre la vulnérabilité potentielle d’outils critiques, dont l’abus pourrait permettre de récupérer des informations personnelles à grande échelle.
Ce n’est pas la première fois que Scattered Lapsus$ Hunters s’en prend à Google. En juin, ses membres avaient déjà réussi à obtenir des identifiants d’accès à des serveurs Salesforce en piégeant des employés. L’opération avait entraîné l’exfiltration de millions d’enregistrements liés à la régie publicitaire Google Ads. Le groupe s’illustre aussi par de multiples intrusions visant des entreprises internationales de divers secteurs, de la mode au numérique.
En parallèle, les chercheurs d’Okta ont identifié VoidProxy, une plateforme de phishing-as-a-service. Accessible par simple abonnement, elle fournit tout le nécessaire pour lancer des campagnes de hameçonnage sophistiquées. Les pirates n’ont besoin d’aucune compétence technique particulière : la solution est prête à l’emploi et conçue pour échapper aux outils de détection.
Le mode opératoire repose sur des techniques dites adversary-in-the-middle, où une page de connexion frauduleuse intercepte en temps réel les identifiants, les mots de passe et les codes de double authentification. En plus de ces données, VoidProxy capture les cookies de session, permettant aux attaquants de se faire passer pour leurs victimes sans nécessiter de nouveaux identifiants.
Les campagnes liées à VoidProxy utilisent des emails de phishing envoyés depuis des comptes compromis, avec des liens redirigeant vers des sites imitant ceux de Google ou de Microsoft. Hébergés sur des domaines jetables, ces sites collectent les informations sensibles et les mettent directement à disposition des attaquants via un tableau de bord.
Ce modèle industriel démocratise l’accès aux techniques avancées de phishing, rendant la menace accessible à des cybercriminels moins expérimentés mais tout aussi dangereux.
Ces deux menaces rappellent que les cyberattaques visent à la fois les infrastructures critiques et les utilisateurs finaux. La combinaison de groupes organisés capables d’exploiter des portails administratifs et de plateformes automatisées comme VoidProxy accentue la pression sur les entreprises et les particuliers. Une stratégie de défense en profondeur reste la meilleure réponse face à cette intensification du risque numérique.