Comment des pirates contournent la double authentification sur Gmail

La double authentification, cette protection supplémentaire qui demande un code sur votre téléphone, n’est pas aussi solide qu’on le pense.

Des hackers russes parviennent à accéder aux comptes Gmail protégés par une double authentification en exploitant une faille dans les mots de passe d’application.

Mais ne vous inquiétez pas pour autant. Cette campagne, menée entre avril et juin 2025, cible spécifiquement des universitaires et des critiques du régime russe par le biais d’une technique particulièrement élaborée.

Quand la porte de service devient la porte d’entrée

La double authentification, cette protection supplémentaire qui demande un code sur votre téléphone, n’est pas aussi solide qu’on le pense. Les cybercriminels russes du groupe UNC6293, probablement liés au fameux APT29 (alias Cozy Bear), ont trouvé une astuce redoutable : exploiter les mots de passe d’application.

Pour aller plus loin
Double authentification (2FA) : pourquoi et comment sécuriser ses comptes Google, Meta, iCloud, Steam…

Ces petits codes que Google génère pour connecter des applications comme Outlook ou Thunderbird à votre Gmail ? Ils donnent un accès complet à votre compte, sans jamais déclencher d’alerte de sécurité. Google les considère comme parfaitement légitimes.

Les hackers ont compris qu’il suffit de convaincre quelqu’un de créer et partager ce type de mot de passe pour obtenir les clés du royaume. Pas besoin de pirater quoi que ce soit : la victime ouvre elle-même la porte.

L’art de la manipulation, version gouvernementale

L’histoire commence par un e-mail signé Claudie S. Weber, prétendument du Département d’État. Le message invite Keir Giles à « une conversation privée en ligne » sur des sujets liés à ses expertises. Rien d’inhabituel pour un spécialiste reconnu.

Le détail qui fait mouche ? Plusieurs adresses @state.gov apparaissent en copie, donnant l’impression d’une communication officielle entre collègues. Les attaquants exploitent une particularité technique : le serveur de messagerie gouvernemental accepte tous les messages sans renvoyer d’erreur, même si l’adresse n’existe pas.

Après quelques échanges pour établir la confiance, « Claudie » propose à Giles de rejoindre la plateforme « MS DoS Guest Tenant » du Département d’État. Une solution qui lui permettrait d’assister facilement aux futures réunions, quels que soient ses disponibilités.

Le manuel de l’utilisateur piégé

L’attaque bascule dans le génie avec l’envoi d’un fichier PDF contenant des instructions détaillées. Le document explique comment créer un mot de passe d’application Google, présenté comme une étape obligatoire pour accéder à la plateforme gouvernementale.

L’instruction finale est diabolique : partager ce mot de passe « avec les administrateurs DoS américains pour ajouter l’utilisateur externe au locataire invité O365 ». Le PDF justifie cette démarche comme une solution technique facilitant les échanges sécurisés entre fonctionnaires et experts externes.

La victime suit scrupuleusement les consignes, persuadée de respecter une procédure officielle de sécurité. En réalité, elle vient de remettre les clés de son compte Google à des espions russes.

Pourquoi cette technique est si efficace

Cette méthode présente tous les avantages pour les cybercriminels. Contrairement aux attaques classiques de phishing qui nécessitent d’agir vite, les mots de passe d’application restent valides indéfiniment. Les hackers peuvent revenir consulter les e-mails des mois plus tard.

Mieux encore : ces connexions n’apparaissent pas comme suspectes dans les journaux Google. Pas d’alerte de sécurité, pas de notification de connexion inhabituelle. L’accès semble parfaitement normal au système.

Les attaquants utilisent également des proxys résidentiels et des serveurs privés pour masquer leur localisation. Impossible de remonter jusqu’à eux via les adresses IP.

Des cibles soigneusement choisies

Cette campagne ne vise pas n’importe qui. Les hackers s’attaquent spécifiquement aux universitaires, journalistes et critiques du régime russe. Des personnalités qui ont accès à des informations sensibles et maintiennent des contacts précieux dans les milieux géopolitiques.

Le groupe APT29 opère depuis au moins 2008. Ses précédentes victimes incluent des réseaux gouvernementaux, des instituts de recherche et des groupes de réflexion.

Se protéger sans devenir parano

Google propose une solution radicale : le Programme de Protection Avancée. Ce service interdit purement et simplement la création de mots de passe d’application et exige l’utilisation de clés de sécurité physiques pour toute connexion.

Pour les utilisateurs « normaux », quelques réflexes suffisent. On vous encourage à lire ce dossier d’ailleurs.

Pour aller plus loin
Comment sécuriser votre smartphone, votre tablette ou votre PC ? Le guide ultime !

Un gestionnaire de mots de passe devient indispensable. Ces outils génèrent des identifiants impossibles à retenir mais impossibles à pirater. Bitwarden, 1Password, Dashlane : choisissez celui qui vous convient, mais choisissez-en un.

L’authentification à deux facteurs (2FA) doit devenir automatique. Même si votre mot de passe fuite, cette couche supplémentaire bloque l’accès. SMS, application dédiée, clé physique : toutes les options sont bonnes à prendre.

Enfin, vous devez quand même éviter d’utiliser des SMS pour recevoir des codes 2FA, car il est possible de mener des attaques d’échange de carte SIM (SIM swap) pour détourner votre numéro de téléphone et les obtenir.

Les passkeys représentent l’avenir. Cette technologie remplace complètement les mots de passe par une authentification biométrique ou par clé physique. Apple, Google et Microsoft poussent déjà cette solution. Adoptez-la dès que possible.