Une nouvelle forme de phishing exploite l'IA Gemini de Google pour tromper des millions d'utilisateurs Gmail. Des cybercriminels insèrent un code HTML malveillant dans des e-mails pour générer une fausse alerte de sécurité via la fonction de résumé automatique, redirigeant ensuite les victimes vers une page de connexion factice. Le vol d'identifiants, l'usurpation d'identité et la propagation de logiciels malveillants font partie des conséquences possibles.
Une arnaque d'un genre nouveau circule depuis peu sur Gmail. Elle ne ressemble pas aux tentatives d'hameçonnage classiques, mal orthographiées et facilement repérables. Cette fois, les pirates ont trouvé un moyen de retourner l'intelligence artificielle de Google contre ses propres utilisateurs, en exploitant la fonction de résumé automatique de Gemini pour fabriquer une alerte de sécurité entièrement fictive.
Le résultat est redoutable : la menace semble légitime, elle porte la signature visuelle d'un outil de confiance, et elle pousse des millions de personnes, étudiants, cadres, particuliers, à cliquer sur un lien qui mène droit vers une page de connexion frauduleuse. Les Acteurs du Commerce Français et des experts en cybersécurité ont tiré la sonnette d'alarme, rejoints par les équipes d'Intercommunalités de France.
Le mécanisme de l'arnaque Gmail repose sur Gemini
Pour comprendre pourquoi cette attaque de phishing est particulièrement dangereuse, il faut revenir sur son fonctionnement technique. Les cybercriminels envoient un e-mail contenant un code HTML malveillant de taille microscopique, invisible à l'œil nu dans le corps du message. Ce code est conçu spécifiquement pour interagir avec la fonction de résumé automatique de Gemini, l'IA intégrée à Gmail.
Quand l'utilisateur demande à Gemini de résumer l'e-mail, l'IA lit le code caché et génère, à la place d'un résumé normal, une fausse alerte de sécurité. Le message affiché simule une notification officielle de Google, avertissant d'une activité suspecte sur le compte et invitant à cliquer sur un lien pour sécuriser l'accès. Concrètement, c'est l'outil de confiance lui-même qui devient le vecteur de l'escroquerie.
Une fausse alerte qui contourne les filtres antiphishing
Ce qui rend cette technique particulièrement efficace, c'est sa capacité à contourner les filtres antiphishing classiques. Les systèmes de détection habituels analysent les liens suspects, les expéditeurs inconnus ou les formulations douteuses. Mais ici, le lien malveillant n'apparaît pas dans le corps de l'e-mail original : il est généré dynamiquement dans le résumé produit par l'IA. Les défenses traditionnelles ne voient rien d'anormal.
Le lien conduit vers une page de connexion factice, visuellement identique à celle de Google. L'utilisateur entre ses identifiants, convaincu d'être sur une interface officielle. Les pirates récupèrent alors les informations en temps réel, sans que la victime ne s'aperçoive de quoi que ce soit.
Une alerte de sécurité générée par Gemini lors d’un résumé automatique n’est jamais une notification officielle de Google. Si un tel message apparaît, ne cliquez sur aucun lien et fermez immédiatement l’onglet.
L'exploitation de la confiance envers l'IA
Ce schéma repose sur un principe psychologique précis : la confiance envers l'IA. Les utilisateurs qui ont adopté les outils d'intelligence artificielle intégrés à leur messagerie leur accordent une crédibilité élevée. Quand Gemini produit un résumé, l'internaute ne s'attend pas à ce que ce résumé soit lui-même le vecteur d'une attaque. C'est précisément cette zone aveugle que les pirates exploitent.
Les signaux d'alerte sont pourtant identifiables : une alerte de sécurité qui surgit lors d'un simple résumé, un lien inclus dans un contexte qui n'en justifie pas la présence, un message qui crée un sentiment d'urgence, ou encore une demande d'identifiants qui ne passe pas par la plateforme officielle. L'absence de logique entre le contenu réel de l'e-mail et l'alerte affichée constitue le signe le plus évident d'une tentative de manipulation. Cette mécanique n'est pas sans rappeler d'autres formes d'arnaques numériques signalées par les autorités, comme cette fraude fiscale qui cible les contribuables chaque printemps.
Les conséquences pour les victimes vont bien au-delà du simple vol de mot de passe
Aucune victime n'a encore été officiellement identifiée à ce jour, mais le potentiel de dommages est considérable. En obtenant les identifiants Gmail d'un utilisateur, les cybercriminels accèdent à bien plus qu'une boîte mail : ils peuvent consulter l'ensemble des informations sensibles stockées sur le compte, récupérer des documents personnels ou professionnels, accéder aux services Google liés (Drive, Photos, Agenda), et utiliser le compte pour propager à leur tour des logiciels malveillants à l'ensemble des contacts.
victime officiellement identifiée à ce jour, mais des millions d’utilisateurs Gmail sont potentiellement exposés
Les pertes financières peuvent également s'avérer importantes, notamment si le compte Gmail est associé à des services bancaires, à des plateformes de paiement ou à des comptes professionnels. L'usurpation d'identité qui peut en découler ouvre la voie à des démarches frauduleuses longues et coûteuses à démêler. Pour protéger aussi ses données bancaires au quotidien, certaines astuces simples existent, comme cet autocollant recommandé par les experts pour sécuriser sa carte bancaire.
Ce qu'il faut faire pour ne pas tomber dans le piège
La première règle est de ne jamais cliquer sur un lien apparu dans une alerte inhabituelle, quelle que soit la source affichée. Un outil d'IA comme Gemini ne génère pas de notifications de sécurité dans ses résumés : si un tel message apparaît, c'est un signal d'alerte immédiat.
Quelques réflexes permettent de se protéger efficacement :
- Activer la double authentification sur tous les comptes Google et services associés, ce qui rend inutilisables des identifiants volés sans le second facteur de validation.
- Vérifier l'adresse réelle de toute page demandant une connexion avant d'entrer le moindre identifiant.
- Éviter d'utiliser le résumé automatique sur des e-mails provenant d'expéditeurs inconnus ou dont la légitimité est incertaine.
- Installer les dernières mises à jour logicielles, les plateformes concernées ayant annoncé des correctifs dans les prochaines semaines.
- Surveiller les incohérences dans le style ou le contenu des messages : une alerte de sécurité qui ne correspond pas au sujet de l'e-mail original est un indice fort de manipulation.
Ne jamais transmettre ses identifiants via un formulaire dont l'adresse URL ne correspond pas exactement au domaine officiel de Google. En cas de doute, consulter directement le site officiel en tapant l'adresse manuellement dans le navigateur.
La double authentification reste la protection la plus efficace contre le vol d’identifiants. Même si un pirate obtient votre mot de passe via une page factice, il ne pourra pas accéder à votre compte sans le second facteur de validation.
Google travaille à des correctifs pour empêcher l'exploitation de Gemini à des fins malveillantes, et les développeurs de plateformes web concernés ont également annoncé des mises à jour. Mais en attendant leur déploiement effectif, la vigilance des utilisateurs reste la seule ligne de défense réellement opérationnelle. Les arnaques numériques évoluent vite, et cette nouvelle génération d'attaques qui détourne l'IA pour crédibiliser des messages frauduleux marque un tournant dans les techniques d'hameçonnage. Comprendre le mécanisme, c'est déjà se donner les moyens de ne pas en être victime.
