Google face à une faille critique exposant les numéros privés

Une vulnérabilité majeure dans l'infrastructure de Google permettait d'accéder aux numéros de téléphone associés à n'importe quel compte utilisateur. Découverte par le chercheur en sécurité Brutecat, cette brèche soulève de sérieuses questions sur la protection des données personnelles, même chez les géants technologiques.

Une découverte par hasard

Tout commence lorsque Brutecat, spécialiste reconnu de l'écosystème Google, désactive JavaScript sur son navigateur pour tester les services dans des conditions dégradées. Cette manipulation révèle l'existence d'un formulaire obsolète de récupération de nom d'utilisateur, accessible via accounts.google.com/signin/usernamerecovery.

Contrairement aux interfaces modernes équipées de protections anti-bots sophistiquées depuis 2018, cette relique du passé échappe aux mécanismes de sécurité contemporains. Une faille d'autant plus dangereuse qu'elle concerne un élément fondamental des comptes utilisateurs.

Une exploitation redoutablement efficace

L'attaque développée par Brutecat repose sur une approche en deux temps. D'abord, obtenir le nom complet du compte ciblé en exploitant une faille dans Google Looker Studio. Ensuite, utiliser le processus de récupération de mot de passe qui affiche, depuis 2024, les deux derniers chiffres du numéro de téléphone de récupération.

Ces indices, initialement conçus pour rassurer l'utilisateur légitime, deviennent paradoxalement la porte d'entrée d'une attaque par force brute. Le chercheur développe alors "GPB" (Google Phone Brute), un outil capable de générer 40 000 requêtes par seconde, basé sur deux innovations techniques:

• L'utilisation d'IPv6 pour générer un nombre quasi infini d'adresses sources (18 quintillions avec un sous-réseau /64), rendant inefficaces les systèmes de limitation par adresse IP
• Le contournement des captchas en remplaçant le paramètre "js_disabled" par un token BotGuard légitime extrait de la version JavaScript du formulaire

L'efficacité varie selon les formats nationaux de numérotation: 5 secondes suffisent pour un numéro singapourien, contre 20 minutes pour un américain.

Des implications sécuritaires graves

La découverte d'un numéro de téléphone personnel ouvre la voie à des attaques sophistiquées aux conséquences potentiellement désastreuses. Les cybercriminels peuvent notamment orchestrer des attaques de SIM swapping, en persuadant un opérateur mobile de transférer le numéro vers une carte SIM contrôlée par l'attaquant.

Une fois le numéro détourné, les pirates peuvent réinitialiser les mots de passe de tous les comptes associés en interceptant les codes de vérification SMS. Cette vulnérabilité expose particulièrement les comptes anonymes à des tentatives d'identification et de ciblage personnalisé.

La réaction de Google: entre minimisation et correction

Alerté le 14 avril 2025 via son programme Bug Bounty, Google a d'abord classé cette faille comme "faible gravité". Après réévaluation, l'entreprise l'a requalifiée en "sévérité moyenne" le 22 mai et a versé une récompense de 5 000 dollars au chercheur.

Le 6 juin 2025, Google a définitivement désactivé l'ancien point d'accès de récupération, colmatant ainsi la brèche. L'entreprise affirme n'avoir identifié aucune exploitation malveillante avant la correction.

Cette découverte s'inscrit dans un historique préoccupant: en février 2025, le même chercheur avait déjà révélé une faille exposant les adresses email associées à des chaînes YouTube anonymes, Google ayant mis quatre mois à réagir.