Une nouvelle campagne de phishing sur Gmail exploite l'intelligence artificielle Gemini de Google pour tromper des millions d'utilisateurs. Des cybercriminels dissimulent un code HTML malveillant dans des e-mails en apparence irréprochables, déclenchant une fausse alerte de sécurité qui redirige vers une page de connexion frauduleuse. Le vol d'identifiants, l'usurpation d'identité et des pertes financières importantes figurent parmi les conséquences directes.
Une arnaque particulièrement redoutable vient d'être identifiée sur Gmail. Elle ne ressemble à rien de ce qui circulait jusqu'ici : pas de fautes d'orthographe grossières, pas d'expéditeur douteux immédiatement repérable. Les pirates ont trouvé un moyen de retourner l'intelligence artificielle de Google contre ses propres utilisateurs.
Les experts en cybersécurité, relayés notamment par des organisations françaises comme les Acteurs du Commerce Français, tirent la sonnette d'alarme. Des millions de comptes Gmail sont potentiellement exposés, et les correctifs de Google ne sont pas attendus avant les prochaines semaines.
Le mécanisme du phishing sur Gmail détaillé étape par étape
Tout commence par la réception d'un e-mail en apparence parfaitement rédigé. Aucune faute, un ton professionnel, un contenu qui ne suscite aucune méfiance immédiate. C'est précisément là que réside la dangerosité de cette attaque : elle est conçue pour passer sous les radars des filtres antiphishing classiques.
Un code HTML invisible à l'œil nu
Les cybercriminels ont intégré un code HTML malveillant en fin de message, de taille microscopique et affiché dans une couleur identique au fond de l'e-mail. Concrètement, ce code est totalement invisible lors d'une lecture normale. L'utilisateur ne voit rien d'anormal, parcourt le message, et peut décider d'activer le résumé automatique Gemini, la fonctionnalité d'IA intégrée à Gmail.
C'est à ce moment précis que le piège se referme.
Gemini, l'IA de Google, exploitée comme vecteur d'attaque
Lorsque l'utilisateur demande un résumé du message, Gemini interprète l'intégralité du contenu, y compris le code dissimulé. L'IA exécute alors les instructions cachées et affiche une fausse alerte de sécurité : le compte Gmail de l'utilisateur aurait été piraté et une action urgente serait requise. Un lien est proposé pour "sécuriser" le compte.
Ce lien redirige vers une page de connexion factice, visuellement identique à celle de Google. Tout utilisateur qui y saisit ses identifiants les transmet directement aux pirates. Résultat : le vol de données de connexion s'effectue sans que la victime ne réalise ce qui vient de se passer.
Cette arnaque contourne les filtres antiphishing traditionnels car le contenu malveillant n’est pas visible dans le corps du message. L’alerte apparaît uniquement dans le résumé généré par l’IA Gemini, ce qui lui confère une apparence de légitimité trompeuse.
Des conséquences graves pour les victimes de cette escroquerie
Le vol d'identifiants Gmail n'est qu'un premier dommage. Un compte de messagerie représente bien plus qu'une simple boîte aux lettres : il constitue souvent la porte d'entrée vers des dizaines d'autres services, des comptes bancaires aux plateformes administratives.
Une fois les identifiants récupérés, les pirates peuvent accéder à l'ensemble des informations sensibles stockées dans le compte, procéder à une usurpation d'identité et propager des logiciels malveillants à partir de la messagerie compromise, en ciblant les contacts de la victime. Les pertes financières potentielles sont importantes. Cette menace rappelle d'ailleurs d'autres formes d'arnaques numériques qui prolifèrent en ce moment, comme les tentatives de fraude par démarchage téléphonique qui exploitent elles aussi la confiance des particuliers.
victime officiellement identifiée à ce jour, mais des millions de comptes Gmail sont exposés
Ce chiffre ne doit pas rassurer. L'absence de victimes officiellement recensées reflète simplement la nouveauté de l'attaque et la difficulté à détecter ce type de compromission, souvent découverte tardivement par les utilisateurs.
Ce que cette arnaque révèle sur les nouvelles méthodes des cybercriminels
La sophistication de cette campagne de hameçonnage marque un tournant. Jusqu'ici, les arnaques par e-mail se repéraient souvent à leurs maladresses : fautes d'orthographe, adresses d'expéditeur suspectes, mise en page approximative. Ici, rien de tout cela.
Les pirates ont compris que l'IA générative représente une surface d'attaque inédite. En ciblant non pas l'utilisateur directement, mais l'outil censé l'aider à gérer sa messagerie, ils exploitent une couche de confiance supplémentaire. L'alerte ne vient pas d'un inconnu : elle semble venir de l'IA de Google elle-même.
Cette logique s'inscrit dans une tendance plus large où les escrocs perfectionnent constamment leurs méthodes. La Gendarmerie nationale a d'ailleurs récemment alerté sur de nouvelles arnaques redoutables qui ciblent les particuliers de manière de plus en plus ciblée et crédible.
Les bons réflexes pour se protéger du phishing par IA
Plusieurs comportements permettent de réduire significativement les risques face à cette menace et aux campagnes de phishing par intelligence artificielle en général.
Vérifier avant d'agir, toujours
La règle la plus efficace reste la plus simple : ne jamais cliquer sur un lien apparu à la suite d'une alerte inhabituelle, quelle que soit sa source apparente. Si une alerte de sécurité s'affiche dans le résumé Gemini, il faut se rendre directement sur myaccount.google.com en tapant l'adresse manuellement dans le navigateur, sans passer par le lien proposé.
Vérifier l'adresse URL de toute page demandant une connexion est également indispensable. Une page frauduleuse peut être visuellement identique à celle de Google tout en affichant une adresse légèrement différente. Rester attentif aux incohérences dans le style d'écriture des messages reste aussi un indicateur utile, même si cette arnaque en particulier en est largement dépourvue.
Les mesures techniques à mettre en place
Plusieurs actions concrètes permettent de renforcer la sécurité de son compte Gmail :
- Activer la double authentification (ou validation en deux étapes) sur l'ensemble de ses comptes, à commencer par Gmail
- Installer les dernières mises à jour logicielles sur ses appareils pour bénéficier des correctifs de sécurité dès leur déploiement
- Éviter d'utiliser le résumé automatique sur des e-mails provenant d'expéditeurs inconnus ou non vérifiés
- Ne jamais transmettre ses identifiants via un formulaire dont l'origine n'a pas été confirmée sur le site officiel
- Effectuer une veille régulière sur les nouvelles tendances en matière d'arnaques numériques
La double authentification reste la protection la plus efficace contre le vol d’identifiants : même si un pirate récupère votre mot de passe, il ne pourra pas accéder à votre compte sans le second facteur de vérification.
Cette vigilance numérique dépasse d'ailleurs le seul cadre de la messagerie. Les codes bancaires trop simples constituent un autre point d'entrée fréquemment exploité par les fraudeurs pour accéder aux comptes financiers des particuliers.
Google a été informé de la faille et des correctifs sont attendus dans les prochaines semaines. En attendant leur déploiement, la prudence face aux résumés automatiques générés par Gemini sur des e-mails d'origine incertaine reste la meilleure ligne de défense disponible.
