mai 12, 2026
gmail 2 5 milliard

Le fait établi : une base Salesforce interne de Google a été piratée

Début août, Google a confirmé qu’une instance Salesforce corporative avait été compromise après une opération de vishing (hameçonnage par téléphone). L’intrusion, attribuée à un groupe de cybercriminels, a permis d’exfiltrer des données durant une courte fenêtre d’accès avant que Google ne coupe la connexion. Les informations dérobées portent sur des coordonnées et notes commerciales liées à des clients et prospects : noms d’entreprises, contacts, informations de suivi. Il ne s’agit pas de mots de passe Gmail ni du contenu des comptes. Google a indiqué avoir notifié les personnes concernées.

Autrement dit, le cœur de Gmail n’a pas été “ouvert”. Le risque actuel provient surtout de l’exploitation des coordonnées volées pour monter des campagnes ciblées de phishing, vishing et usurpation d’identité.

D’où vient le chiffre “2,5 milliards de comptes” ?

Plusieurs titres de presse ont affirmé que 2,5 milliards d’utilisateurs Gmail auraient été “concernés”. Ce nombre ne figure pas dans la communication officielle de Google : il s’agit d’une extrapolation qui mélange la taille potentielle de l’audience Gmail et l’intensification d’arnaques surfant sur l’incident. Retenez donc que l’ampleur “2,5 milliards” n’est pas un fait confirmé. En revanche, les tentatives d’escroquerie visant les utilisateurs de Gmail sont bien réelles et en hausse.

Comment l’attaque a réussi : une arnaque au téléphone

Le mode opératoire est classique et terriblement efficace : un escroc se fait passer pour le support informatique, appelle un employé et le guide pour autoriser une application connectée ou un outil d’export. En quelques minutes, les attaquants obtiennent un accès API et scriptent l’extraction des tables Salesforce pour récupérer des carnets d’adresses et des notes commerciales. Ce n’est ni une faille logicielle critique ni un 0-day : c’est d’abord une erreur humaine exploitée, renforcée par de la persuasion et un contexte de travail sous pression.

Quels risques concrets pour vous (particuliers et pros) ?

  • Phishing et vishing “sur-mesure” : appels, SMS et e-mails qui semblent venir de Google ou d’un prestataire légitime, demandant codes 2FA, réinitialisations, paiements “urgents” ou validation d’identité.
  • Usurpation commerciale : faux commerciaux, fausses relances de facture, demandes de KYC pressantes, utilisant des noms, fonctions et trames plausibles.
  • Effet domino : d’autres entreprises ayant subi des campagnes similaires, vos coordonnées peuvent circuler entre plusieurs listes, augmentant votre exposition dans le temps.

Suis-je concerné ?

  1. Notification reçue : si vous avez reçu un message officiel indiquant une exposition de vos coordonnées, appliquez immédiatement les mesures de durcissement de votre compte.
  2. Security Checkup : vérifiez les appareils connectés, les événements de sécurité récents, les accès d’applications tierces et activez les protections recommandées.
  3. Exposition historique : si vous réutilisez encore des mots de passe déjà compromis ailleurs (anciennes fuites publiques), vous êtes particulièrement vulnérable au credential stuffing ; changez-les sans attendre.

Mesures immédiates (particuliers)

  • Activez l’authentification forte, idéalement les passkeys (empreinte, Face ID, clé FIDO) plutôt que les codes SMS, plus faciles à intercepter.
  • Changez votre mot de passe Google s’il est réutilisé sur d’autres sites. Utilisez un gestionnaire de mots de passe pour générer des secrets longs et uniques.
  • Nettoyez les accès tiers : dans votre compte Google et dans Gmail, révoquez les applications que vous ne reconnaissez pas, vérifiez les filtres et l’éventuel transfert automatique de vos e-mails.
  • Zéro code par téléphone : ne communiquez jamais un code de validation reçu par SMS ou application à quelqu’un qui vous appelle. En cas de doute, raccrochez et passez par les canaux officiels.

Mesures pour les entreprises (Salesforce & co.)

  • Moindre privilège : restreignez l’usage des exports de données (Data Loader, API Enabled) aux profils indispensables ; auditez régulièrement profils et permission sets.
  • Gouvernance des “connected apps” : processus d’approbation, liste blanche d’apps connues, blocage par défaut.
  • Contraintes réseau : autorisez l’accès Salesforce uniquement depuis vos IP d’entreprise ou via VPN d’entreprise.
  • Journalisation et détection : activez la télémétrie avancée, surveillez les exports volumineux et ingérez les logs dans le SIEM pour corrélation et réponse automatisée.
  • MFA partout + sensibilisation : entraînez les équipes à repérer les scripts d’ingénierie sociale, la fatigue MFA et les faux supports techniques.

Pourquoi l’emballement médiatique ?

Parce que la marque “Gmail” touche des milliards d’utilisateurs et que le vishing exploite cette anxiété : messages alarmistes, usurpation d’éléments visuels, appels et SMS “officiels”. Les gros chiffres font cliquer, mais l’essentiel se joue ailleurs : dans les réglages de sécurité et les habitudes des utilisateurs. Rappel fondamental : ni Google ni aucun service légitime ne vous demandera votre mot de passe ou un code 2FA par téléphone.

En résumé (à retenir)

  • Fait confirmé : exfiltration via Salesforce de coordonnées commerciales après vishing, fenêtre d’accès brève, comptes Gmail et mots de passe non exposés. Notifications envoyées aux intéressés.
  • Non confirmé : l’affirmation “2,5 milliards de comptes compromis”. À considérer comme un cadrage médiatique, pas comme une donnée technique établie.
  • Action immédiate : passez le Security Checkup, activez les passkeys, éliminez la réutilisation de mots de passe, révoquez les accès tiers suspects, ne partagez jamais vos codes.
  • Côté entreprise : durcissez Salesforce (connected apps, IP allow-list, monitoring, moindre privilège) et formez vos équipes à déjouer le vishing.

En somme, cette affaire rappelle une vérité simple : la sécurité ne repose pas seulement sur la technologie, mais d’abord sur des comportements éclairés et une gouvernance rigoureuse des accès. Les attaquants capitalisent sur la confiance et la précipitation ; inversez la tendance en renforçant vos contrôles, en ralentissant vos décisions face aux sollicitations “urgentes” et en privilégiant systématiquement les vérifications hors bande (un autre canal, un autre numéro, un portail officiel).

Publications similaires :

  1. Google déploie son intelligence artificielle Bard à travers l’ensemble de ses applications
  2. AI Girlfriend : laquelle choisir selon vos envies ?
  3. 5 raisons pour lesquelles les travailleurs à domicile et à distance doivent utiliser un vpn