Actualités, Réseaux sociaux, Sécurité

Faille Google : exposition de millions de numéros de téléphone

Publié le par Sven CAILTEUX
Faille Google exposant les numéros de téléphone de millions de comptes Gmail
10
Juin

This post is also available in: English (Anglais)

Faille Google : comment un bug a exposé les numéros de téléphone des comptes Gmail

Une faille Google inquiétante a permis de deviner le numéro de téléphone lié à n’importe quel compte Gmail : votre sécurité était-elle en danger sans le savoir ?

Qu’est-ce que la faille Google qui a exposé les numéros de téléphone ?

La faille Google, expression clé principale de cet article, reposait sur un ancien formulaire de récupération de compte encore accessible sur les serveurs de la firme. Ce formulaire permettait à toute personne disposant de votre adresse Gmail et de votre nom d’affichage de vérifier si un numéro de téléphone était associé à votre compte Google. Un simple test automatisé, réalisé à grande échelle, permettait ainsi de deviner le numéro de téléphone de la cible, mettant en péril la confidentialité de millions d’utilisateurs.

Comment la faille Google pouvait-elle être exploitée ?

  • Identification du nom d’affichage : En envoyant un document via Looker Studio (l’outil de création de rapports de Google), le nom d’affichage du compte cible s’affiche, même si la personne ne consulte jamais le document.
  • Test massif de numéros : Un outil développé par BruteCat générait et testait automatiquement des milliers de numéros de téléphone dans l’ancien formulaire de récupération de Google.
  • Recoupement d’informations : En utilisant les bribes de numéros affichées par Google lors de la récupération de compte (par exemple, deux chiffres du numéro de secours), l’outil pouvait affiner la recherche et retrouver le numéro complet associé au compte.

Grâce à cette méthode, un cybercriminel pouvait relier un nom, une adresse mail et un numéro de téléphone, ouvrant la porte à des attaques de phishing ciblées et redoutablement efficaces.

Pourquoi cette faille Google est-elle si préoccupante ?

La faille Google touchait à la base même de la sécurité numérique : la confidentialité des données personnelles. Avec la combinaison nom, mail et numéro de téléphone, un pirate peut lancer des campagnes de phishing personnalisées, usurper une identité, ou encore tenter de prendre le contrôle d’autres comptes par ingénierie sociale. Ce type de vulnérabilité met en lumière la nécessité d’une vigilance constante, même chez des géants du numérique comme Google.

Comment Google a-t-il réagi face à la faille ?

Alerté le 14 avril 2025, Google a mis plus d’un mois à réagir. Ce n’est que le 22 mai 2025 que l’entreprise a coupé l’accès à l’ancien formulaire de récupération et mis en place des mesures d’atténuation. BruteCat, le chercheur à l’origine de la découverte, a reçu une prime de 5 000 dollars pour sa contribution à la sécurité de la plateforme. À ce jour, il reste incertain si la faille Google a été exploitée par des cybercriminels avant sa correction.

Les conséquences de la faille Google pour les utilisateurs

Impact sur la sécurité des comptes

Cette faille Google démontre qu’aucun système n’est infaillible, même chez les acteurs majeurs du web. La possibilité de relier une adresse Gmail à un numéro de téléphone expose les utilisateurs à des risques accrus de phishing, de harcèlement téléphonique, voire d’usurpation d’identité. Pour les professionnels, la fuite de données personnelles peut aussi avoir des conséquences juridiques et réputationnelles.

Bonnes pratiques pour renforcer sa sécurité

  • Vérifiez régulièrement les paramètres de sécurité de votre compte Google.
  • Activez la double authentification pour limiter les risques d’accès non autorisé.
  • Restez vigilant face aux tentatives de phishing, même si le message semble provenir d’un contact ou d’un service officiel.
  • Limitez la diffusion de votre numéro de téléphone sur internet et dans les formulaires en ligne.

Google et la gestion des vulnérabilités : quelles leçons tirer ?

La découverte de cette faille Google souligne l’importance des programmes de bug bounty et de la collaboration entre chercheurs indépendants et entreprises. Même si la réaction de Google a été jugée lente par certains, la correction rapide après l’alerte publique a permis de limiter les dégâts potentiels.

Vers une cybersécurité plus proactive

Les failles comme celle-ci rappellent que la sécurité numérique est un processus continu. Les entreprises doivent non seulement corriger les bugs, mais aussi auditer régulièrement leurs anciens outils et interfaces, souvent oubliés mais toujours accessibles. Pour les utilisateurs, la vigilance reste de mise : chaque information partagée en ligne peut devenir une porte d’entrée pour des attaques ciblées.

Conclusion : Que pensez-vous de la gestion de cette faille Google ?

La faille Google révélée par BruteCat met en lumière la fragilité de nos données personnelles, même chez les géants du web. Selon vous, Google a-t-il réagi suffisamment vite ? Faut-il renforcer les programmes de récompense pour encourager la découverte de vulnérabilités ? Partagez votre avis en commentaire et échangeons sur les meilleures pratiques pour protéger nos identités numériques !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *