Google Forms : un outil tant pratique que perfide
Souvent méconnu du grand public, Google Forms s’impose pourtant comme l’une des applis les plus simples et efficaces de la suite Google Drive. Que ce soit pour sonder des équipes, planifier un événement ou recueillir les avis de clients, créer un formulaire ne prend que quelques minutes. Mais cette facilité d’usage et l’apparence « officielle » des pages Google Docs créent un terreau idéal pour les cybercriminels en quête de nouvelles méthodes de phishing.
Le fonctionnement basique de Google Forms
Google Forms se distingue par sa rapidité de création et son interface épurée :
Choix parmi plusieurs types de questions : case à cocher, menu déroulant, réponse libre…
Personnalisation visuelle : couleurs, logos et images peuvent être ajoutés pour donner un aspect professionnel.
Distribution simplifiée : le lien du formulaire, qui débute toujours par docs.google.com/forms/, peut être partagé par email, messagerie instantanée ou réseaux sociaux.
Côté destinataire, l’écran de saisie est fluide, avec des boutons « Envoyer » et « Effacer », et un bandeau rappelant que « ce contenu n’a pas été approuvé par Google » si l’auteur l’a configuré ainsi. À première vue, tout paraît légitime, surtout quand le lien émane d’un contact connu.
La nouvelle arme des hackers : phishing via Google Forms
Le vrai danger naît de la confiance placée dans l’URL Google. En effet :
Un formulaire malveillant conserve l’URL officielle de Google Docs, ne déclenchant pas de filtrage classique anti-phishing.
Les cybercriminels peuvent clore et rouvrir un formulaire en quelques clics, multipliant ainsi les liens et rendant la traque compliquée pour les systèmes de détection.
Tout est gratuit, ce qui incite les attaquants à générer des dizaines de formes pour piéger un maximum de victimes.
Les scénarios d’attaque sont variés : vol de données de connexion, arnaques au paiement, usurpation d’identité ou diffusion de liens malveillants via un champ de texte.
Cas concret : l’attaque ciblant l’Université de Stanford
En février dernier, Google a tiré la sonnette d’alarme après qu’une campagne de phishing a visé étudiants et employés de l’Université de Stanford :
Une fausse notification académique invitait à saisir ses identifiants universitaires dans un Google Form.
Plusieurs utilisateurs, trompés par l’aspect institutionnel et le lien légitime, ont transmis leurs identifiants et mots de passe.
Les hackers ont ainsi pu accéder à des données sensibles avant que le service informatique ne réalise l’ampleur de la brèche.
Ce cas illustre à quel point un formulaire Google, même semblant émaner d’une administration sérieuse, peut se transformer en cheval de Troie.
Pourquoi Google Forms séduit les cybercriminels
Plusieurs raisons expliquent la popularité malveillante de ce service :
Fiabilité perçue : un lien Google inspire automatiquement confiance, bien plus qu’une URL obscure.
Facilité de création : aucun code, aucune infrastructure à mettre en place, tout se crée via l’interface web.
Discrétion opérationnelle : les formulaires sont hébergés sur les serveurs de Google, échappant souvent aux listes noires d’hébergeurs malveillants.
Repérer un formulaire potentiellement dangereux
Pour déjouer ces stratagèmes, quelques réflexes simples suffisent :
Vérifiez toujours l’expéditeur : une adresse email détournée ou un pseudo non officiel devrait éveiller vos soupçons.
Relisez attentivement le contenu : fautes de frappe, formulations maladroites ou urgence injustifiée sont des signaux d’alarme.
Contrôlez la présence de mentions de sécurité : un formulaire légitime inclura souvent une mention « Ne jamais saisir de mot de passe » ou « Contenu non validé par Google ».
Testez l’URL : un simple clic droit puis « Copier le lien » peut révéler un lien de redirection masqué ou des paramètres suspects.
Les mesures de protection essentielles
En cas de doute, n’hésitez pas à :
Contacter directement la source supposée (collègue, service client, administration) via un autre canal pour confirmer la demande.
Ne jamais saisir d’identifiants, de données bancaires ou sensibles dans un Google Form, sauf si l’origine est parfaitement vérifiée.
Utiliser les outils de signalement : en bas de chaque formulaire, un bouton « Signaler un abus » permet d’alerter Google en quelques clics.
Mettez à jour régulièrement votre navigateur et votre système d’exploitation : certaines extensions de sécurité détectent et bloquent les liens suspects.
Que faire si vous avez déjà envoyé vos données ?
Si vous avez rempli un formulaire douteux :
Changez immédiatement vos mots de passe concernés.
Activez l’authentification à deux facteurs sur vos comptes priés pour renforcer la protection.
Surveillez votre banque et vos comptes en ligne pour repérer la moindre transaction non autorisée.
Informez les services de sécurité informatique de votre organisation si des accès professionnels ont été compromis.
Signaler et rester vigilant
La meilleure défense reste la vigilance. Prenez le temps de vérifier chaque formulaire reçu, surtout s’il vous pousse à agir rapidement. En signalant les abus et en alertant votre entourage, vous contribuez à limiter la propagation de ces attaques sournoises. Après tout, mieux vaut perdre quelques secondes à valider un lien qu’un accès à votre compte, voire à vos finances.
