Contenu révisé
Google a récemment tenu à clarifier les informations entourant un incident de sécurité signalé en août 2025, présenté à tort comme une fuite affectant directement Gmail et Google Cloud.
Selon Google, l’incident trouve en réalité son origine dans des ensembles de données provenant de sources externes (réseaux sociaux, VPN, portails de développeurs, comptes d’utilisateurs de plusieurs fournisseurs). Dès que la situation a été portée à la connaissance de ses équipes, Google Cloud a proactivement alerté ses utilisateurs, évalué l’instance incriminée et mis en place des mesures d’atténuation.
Un porte-parole de Google a précisé :
« Cet incident a affecté un ensemble limité de données dans l’une des instances Salesforce de Google utilisées pour communiquer avec des clients potentiels d’Ads. Le système concerné contenait des informations de contact professionnelles de base, telles que le nom de l’entreprise, le numéro de téléphone et des notes connexes. Les équipes de sécurité de Google ont évalué l’instance et des mesures d’atténuation ont été mises en place. Les systèmes Google n’ont pas été consultés et il n’y a aucun impact sur les données contenues dans les produits Google ou sur Google Cloud. Nous continuerons à mettre à jour cet article de blog dès que de nouvelles informations seront disponibles. »
Google souligne ainsi que les données des utilisateurs de Gmail et des services Google Cloud n’ont pas été impactées.
Article initial
Face à une vague de piratages et d’attaques de plus en plus sophistiquées, Google tire la sonnette d’alarme. Le géant californien appelle tous les utilisateurs de Gmail — soit plus de 2,5 milliards de comptes actifs dans le monde — à changer leur mot de passe sans tarder.
En cause : la montée en puissance des tentatives d’hameçonnage et de vol d’identifiants.
Des attaques de plus en plus ciblées, même par téléphone
Selon Google, les méthodes de phishing et de vol de données représentent aujourd’hui 37 % des intrusions réussies. Et les cybercriminels redoublent d’imagination : certains usurpent l’identité du support technique de Google, par e-mail ou même par téléphone, pour piéger les utilisateurs.
Le scénario est simple, mais redoutablement efficace : vous recevez un lien vers une fausse page de connexion. Pensant être sur le site de Google, vous y entrez votre mot de passe, voire des informations sensibles, comme votre numéro de sécurité sociale. En réalité, ces données tombent directement entre les mains de pirates.
Changez vos mots de passe et activez une authentification renforcée
Google indique que 64 % des utilisateurs ne modifient pas régulièrement leur mot de passe, ce qui constitue une faille majeure. Seuls 36 % le font à intervalle régulier.
Si vous n’avez pas changé votre mot de passe Gmail cette année, faites-le maintenant.
Voici les recommandations de Google pour sécuriser votre compte :
- Changez votre mot de passe et utilisez un gestionnaire de mots de passe indépendant (plutôt que celui intégré à Chrome).
- Activez l’authentification à deux facteurs (2FA) via une application d’authentification (comme Google Authenticator ou Microsoft Authenticator) plutôt que par SMS.
- Créez une passkey (empreinte digitale, reconnaissance faciale ou code PIN) pour éviter les pièges par hameçonnage.
- Ne cliquez jamais sur un lien de connexion envoyé par e-mail, même s’il semble venir de Google.
Les passkeys, encore trop peu utilisées
Google souligne également que seuls 34 % des utilisateurs américains utilisent actuellement une passkey. Pourtant, cette méthode d’authentification est beaucoup plus sécurisée, car elle ne peut pas être interceptée par des hackers.
Petit rappel : si un site vous demande un mot de passe alors que vous utilisez normalement une passkey, c’est probablement une arnaque.