Le groupe APT29 (Cozy Bear) a développé une technique d’ingénierie sociale sophistiquée pour contourner l’authentification à deux facteurs de Gmail. Cette campagne, menée d’avril à juin 2025, exploite les mots de passe d’application pour cibler spécifiquement des universitaires et critiques du régime russe.
Une opération de longue haleine aux méthodes raffinées
Les cybercriminels russes ont abandonné les méthodes traditionnelles de piratage pour développer une approche révolutionnaire basée sur la manipulation psychologique. Cette campagne, attribuée au groupe APT29 également connu sous les noms de Cozy Bear, UNC6293 ou Midnight Blizzard, s’est déroulée entre avril et début juin 2025.
L’attaque ne repose sur aucun logiciel malveillant ni lien frauduleux, mais exploite une fonctionnalité légitime de Gmail : les mots de passe d’application (App Passwords). Ces codes permettent aux applications tierces d’accéder aux comptes Google même lorsque l’authentification à deux facteurs est activée, créant ainsi une porte dérobée parfaite pour les attaquants.
Le cas emblématique de Keir Giles
Keir Giles, expert britannique des opérations d’influence russes rattaché à Chatham House, illustre parfaitement le modus operandi de ces cybercriminels. Le 22 mai 2025, il reçoit un premier contact d’une certaine « Claudie S. Weber », se présentant comme responsable du Département d’État américain.
L’échange s’étale sur plusieurs semaines avec un anglais impeccable, des adresses e-mail factices en @state.gov mises en copie, et des invitations à des réunions fictives. Les hackers utilisent jusqu’à quatre fausses adresses officielles pour renforcer la crédibilité de leur imposture.
Une manipulation psychologique minutieuse
Construction progressive de la confiance
Contrairement aux attaques de phishing traditionnelles qui misent sur l’urgence, cette campagne privilégie la patience et la construction méthodique de la confiance. Les cybercriminels passent des semaines à échanger avec leurs cibles, établissant un rapport de confiance avant de passer à l’acte.
Le piège final : le faux PDF officiel
Une fois la confiance établie, les victimes reçoivent un document PDF de six pages sur papier à en-tête du Département d’État. Ce document contient des instructions détaillées pour générer un mot de passe d’application Google nommé « ms.state.gov » et le transmettre aux attaquants pour « compléter l’intégration sécurisée »35.
Cibles privilégiées et objectifs géopolitiques
Cette campagne vise spécifiquement des personnalités à haut profil : universitaires, journalistes, chercheurs et critiques du régime russe. Google a également identifié une seconde campagne aux thématiques ukrainiennes, suggérant une stratégie géopolitique plus large.
Les attaquants utilisent des proxies résidentiels et des serveurs VPS pour masquer leur origine et éviter la détection. Cette sophistication technique, combinée à l’ingénierie sociale avancée, confirme l’origine étatique de l’opération.
Réponse de Google et mesures de protection
Sécurisation des comptes compromis
Google a rapidement identifié et sécurisé les comptes Gmail compromis dans le cadre de ces campagnes. Shane Huntley, responsable du Threat Analysis Group chez Google, précise : « Ce n’est pas une faille technique de Gmail, mais un abus d’une fonctionnalité légitime, grâce à une ingénierie sociale très poussée ».
Recommandations pour les utilisateurs à risque
Pour les personnes particulièrement exposées, Google recommande l’activation de son Advanced Protection Program. Cette configuration renforcée interdit notamment la création de mots de passe d’application et exige l’utilisation de clés de sécurité physiques pour l’authentification.
Le programme impose également des restrictions sur les applications tierces autorisées à accéder aux données Google, limitant l’accès aux seules applications vérifiées.
Implications pour la sécurité numérique
Cette campagne révèle les limites de l’authentification à deux facteurs face à des attaques d’ingénierie sociale sophistiquées. Elle démontre que même les utilisateurs les plus avertis peuvent être trompés par des techniques suffisamment élaborées et patientes.
L’exploitation des mots de passe d’application soulève également des questions sur l’équilibre entre fonctionnalité et sécurité dans les services cloud grand public.
Le saviez-vous ?
Gmail bloque plus de 100 millions de tentatives de phishing chaque jour, mais cette campagne russe a réussi à passer sous les radars en n’utilisant aucun élément technique malveillant.
Cette opération d’APT29 illustre l’évolution des menaces cybernétiques vers des approches plus subtiles et psychologiques. Comment les utilisateurs peuvent-ils se protéger contre des attaques qui exploitent non pas les failles techniques, mais la confiance humaine elle-même ?
Ingénieur (Ir.) et développeur full stack, Roland MANTAMA articule technologie et droits humains. Il conçoit des applications web, renforce la sécurité numérique des organisations et écrit pour vulgariser la culture digitale. Entre code, pédagogie et plaidoyer, son travail vise un numérique responsable et utile à la société. Il est CEO de Usiano Afrika.
Leave feedback about this