Previous Story
Une faille chez Google exposait les numéros de téléphone des comptes
Une faille dans un ancien formulaire de Google permettait d’associer un numéro de téléphone à un compte utilisateur, exposant des millions d’internautes à des risques accrus de phishing.
Rejoignez-nous sur vos réseaux sociaux
Aucun spam. Désinscription en un clic. Votre vie privée est respectée.
Un chercheur en cybersécurité, Brutcat, a révélé une vulnérabilité dans une ancienne interface de récupération d’identifiant Google, accessible sans JavaScript. Cette faille, désormais corrigée, permettait de vérifier si un numéro de téléphone était lié à un compte Gmail donné. Pour cela, l’attaquant n’avait besoin que d’un nom d’utilisateur et de quelques chiffres du numéro de téléphone, informations souvent accessibles via des services tiers comme PayPal.
L’attaque exploitait deux requêtes POST envoyées au service de récupération, qui confirmaient ou infirmaient la correspondance entre un numéro et un identifiant. Google affichait depuis 2024 uniquement deux chiffres du numéro de téléphone lors du processus de récupération, mais cela suffisait à affiner les attaques par force brute.
Afin d’automatiser et d’industrialiser cette technique, le chercheur a développé un outil baptisé « gpb » (Google Phone Brute), capable de scanner des plages de numéros adaptées aux formats régionaux grâce à la bibliothèque open source libphonenumber, développée par Google. L’outil générait les requêtes à raison de 40 000 par seconde, tout en contournant les limites habituelles via la rotation d’adresses IPv6 en /64 et l’usage d’un token BotGuard légitime, extrait d’une version JavaScript active du formulaire.
À 40 000 requêtes par seconde, il suffisait de 20 minutes pour tester tous les numéros possibles aux États-Unis.
Pour contourner les mesures de confidentialité mises en place par Google, qui masque les adresses mail depuis 2024, le chercheur a exploité une faille dans l’interface de Looker Studio. En partageant un document à une adresse Gmail, le nom complet du destinataire s’affichait dans l’interface d’envoi, permettant d’associer une identité à une adresse sans l’accord du propriétaire.
️ VEILLE ZATAZ, VOTRE RADAR CYBER
Adoptée et approuvée par 96 % de nos abonnés !
Découvrir la veille maintenant
Aucune publicité. Alerte directe. Veille éthique.
Cette fuite de données, bien que limitée en apparence, ouvrait la voie à des attaques ciblées, notamment des campagnes de vishing (hameçonnage vocal) et des techniques de SIM swapping, où les attaquants prennent le contrôle d’un numéro de téléphone pour accéder à des services sensibles comme les banques ou les messageries sécurisées.
Réaction tardive mais décisive de Google
Le 14 avril 2025, la faille a été signalée à Google via son programme officiel de Bug Bounty. Initialement classée comme menace de faible gravité, elle a vu son niveau relevé à « modéré » le 22 mai 2025, après réévaluation de l’impact. Google a confirmé avoir versé une récompense de 5 000 dollars (environ 4 630 euros) au chercheur.
Le 6 juin 2025, Google a définitivement désactivé l’ancienne interface de récupération non compatible JavaScript, coupant court à ce vecteur d’attaque. Toutefois, la firme n’a pas précisé si cette faille avait été exploitée à grande échelle avant sa divulgation.
La page du profil du chercheur et les détails techniques sont disponibles sur le site officiel de Google Bug Hunters. À ce jour, aucune preuve publique ne confirme une exploitation préalable de la faille, mais les données révélées montrent que les protections de base contre les abus automatisés ne suffisent plus face à des attaquants techniquement aguerris.
Rejoignez-nous sur vos réseaux sociaux
Aucun spam. Désinscription en un clic. Votre vie privée est respectée.
