FR
Vous ouvrez votre boîte de réception et voyez un "avis de violation de marque" urgent. Vous vérifiez l'adresse de l'expéditeur et constatez qu'il s'agit de noreply@appsheet.com - un vrai domaine Google. Tout semble légitime. C'est exactement ce qui se passe.
Cette escroquerie par hameçonnage de Google AppSheet trompe la sécurité de votre messagerie en marquant le message comme sûr, dissimulant ainsi une attaque très sophistiquée qui contourne les défenses standard sur lesquelles s'appuient la plupart des boîtes de réception.
En bref
Depuis mars 2025, des cybercriminels exploitent l'infrastructure de Google pour envoyer des courriels malveillants directement à partir de serveurs Google fiables. L'ampleur est alarmante : en une seule journée d'avril 2025, près de 11 % de tous les courriels d'hameçonnage envoyés dans le monde sont passés par AppSheet. Une campagne spécifique liée au Vietnam, dont le nom de code était"AccountDumpling", a utilisé cette méthode pour compromettre plus de 30 000 comptes Facebook Business aux États-Unis, en Italie et au Canada.
Google AppSheet est une plateforme gratuite sans code qui permet à tout un chacun de créer des applications personnalisées et de mettre en place des notifications automatiques par courrier électronique. Les escrocs abusent de ce système de notification pour envoyer des courriels directement depuis noreply@appsheet.com et appsheet.bounces.google.com - des adresses Google légitimes.
Comme les courriels proviennent des propres serveurs de Google, ils contournent les trois principaux protocoles d'authentification sur lesquels reposent les systèmes de sécurité des courriels : SPF, DKIM et DMARC. Les trois vérifications ne donnent rien, car techniquement, le courrier électronique provient de Google.
Le chercheur en sécurité Shaked Chen décrit ce phénomène comme un "relais d'hameçonnage" : les attaquants utilisent l'infrastructure d'une plateforme de confiance comme expéditeur visible pour masquer leur véritable identité. Il s'agit d'une technique de plus en plus répandue qui retourne contre vous la confiance que vous accordez à l'infrastructure d'une grande marque. Pour en savoir plus sur le fonctionnement des techniques d'hameçonnage, lisez notre guide " Comment reconnaître un courriel d'hameçonnage".
Un courriel de phishing typique d'AppSheet est déguisé en menace légale urgente, en utilisant des lignes d'objet telles que :
Le corps du message se fait passer pour un cabinet d'avocats ou une équipe chargée de l'application de la loi Meta, et utilise un langage à forte pression pour vous forcer à agir immédiatement. Un bouton bien visible vous invite à "Voir les preuves", "Télécharger les preuves" ou "Vérifier votre compte".
Alors que l'adresse de l'expéditeur affiche un domaine Google authentique, le lien du bouton redirige vers une page de phishing hébergée sur des plateformes tierces telles que Vercel, Netlify ou des domaines se terminant par .su. Certaines versions incluent même une fausse coche de vérification dans le corps de l'e-mail - un indice visuel cyniquement conçu pour court-circuiter votre scepticisme.
Conseil de ScamAdviser : survolez les liens avant de cliquer. Si l'URL de destination ne correspond pas à l'organisation censée vous contacter, considérez qu'il s'agit d'une escroquerie.
C'est là que l'escroquerie AppSheet est vraiment dangereuse : elle fonctionne parce qu'elle utilise la véritable infrastructure de Google.
Les filtres anti-spam standard vérifient si un courriel a été envoyé à partir de serveurs autorisés à envoyer des messages au nom du domaine revendiqué. Comme AppSheet est un produit officiel de Google, tous les courriels qu'il envoie passent parfaitement les authentifications SPF, DKIM et DMARC. D'un point de vue purement technique, le message est un véritable courriel Google, même si son contenu est entièrement frauduleux.
Les filtres de sécurité traditionnels n'ont pas été conçus pour poser des questions logiques, telles que : pourquoi un avis d'application de la marque Meta arrive-t-il d'un outil de création d'applications Google ? Les outils de sécurité à intelligence artificielle tenant compte du contexte peuvent détecter cette incohérence, mais la plupart des organisations et des particuliers ne les ont pas encore déployés.
C'est l'une des principales raisons pour lesquelles le Business Email Compromise (BEC) et le platform-relay phishing sont devenus si efficaces - et si difficiles à arrêter au niveau de la boîte de réception.
En cliquant sur le lien, vous accédez directement à un faux écran de connexion conçu pour voler vos identifiants de compte Facebook, Google ou de messagerie.
Les auteurs de la campagne AccountDumpling ont utilisé un proxy man-in-the-middle en temps réel - une configuration qui capture votre code 2FA au moment précis où vous le saisissez, ce qui rend l'authentification à deux facteurs inutile dans ce contexte. Certaines variantes de l'attaque sont allées encore plus loin, en déployant html2canvas - un script qui capture silencieusement votre session de navigation pendant que vous interagissez avec la fausse page.
Une fois que les attaquants ont accès à votre compte, ils agissent rapidement :
Dans une dernière étape particulièrement cynique, certains attaquants contactent ensuite leurs propres victimes pour leur vendre des "services de récupération de compte", monétisant ainsi les dommages qu'ils ont causés deux fois.
Pour savoir ce qu'il faut faire si votre compte a déjà été compromis, consultez notre article intitulé " J'ai été escroqué, que faire maintenant ?
Recherchez les incohérences logiques entre la personne qui prétend être à l'origine de l'e-mail et ce qu'elle vous demande de faire. Un outil de création d'applications Google n'a aucune raison légitime d'appliquer la politique de Facebook en matière de marques déposées.
Drapeau rouge Ce qu'il faut faire Menace juridique urgente provenant de l'adresse d'un produit Google Stop. Les produits Google ne font pas respecter la législation sur les marques ou les droits d'auteur au nom de Meta. Le lien d'un bouton mène à un raccourcisseur d'URL, à un domaine .su ou à un site tiers sans rapport avec le sujet. Survolez le lien pour consulter l'URL de destination complète avant de cliquer. La ligne d'objet et le contenu du corps de l'e-mail ne correspondent pas Lisez attentivement - les escrocs recyclent souvent des modèles sans précaution. Un lien dans un courriel vous demande de vous connecter à Facebook ou à Google Ouvrez un nouvel onglet de navigateur et accédez directement à la plateforme. Fausse coche de vérification ou badge de confiance à l'intérieur de l'e-mail Il s'agit d'images et non de véritables indicateurs de sécurité. Ignorez-les.Ne cliquez sur aucun lien, même si l'adresse de l'expéditeur semble tout à fait authentique.
Vous pouvez également vérifier si le site web ou la plateforme qui se cache derrière un courriel frauduleux est légitime en utilisant le vérificateur de site web gratuit de ScamAdviser.
L'escroquerie par hameçonnage de Google AppSheet représente un changement plus large dans la manière dont les cybercriminels opèrent. Ils n'ont plus besoin de falsifier une adresse d'expéditeur fiable - ils peuvent simplement utiliser une infrastructure réelle à la place. La confiance que vous accordez à un courriel Google authentique est précisément ce que ces attaquants utilisent comme arme contre vous.
S'interroger sur un courriel inattendu présentant une menace juridique, même s'il provient d'une adresse reconnaissable, n'est pas de la paranoïa. C'est le seul moyen de défense fiable disponible lorsque les systèmes d'authentification ont été rendus inutiles.
Si le message crée une urgence, exige un clic et menace votre compte, considérez-le comme une escroquerie jusqu'à preuve du contraire.
Questions fréquemment posées
Qu'est-ce que l'escroquerie par hameçonnage Google AppSheet ?
Il s'agit d'une attaque par laquelle des escrocs exploitent la plateforme AppSheet de Google pour envoyer de fausses menaces juridiques à partir d'une adresse de courrier électronique Google authentique, en contournant les filtres antispam standard.
Pourquoi noreply@appsheet.com m'envoie-t-il des courriels de menace ?
Les cybercriminels abusent du système de notification automatique de AppSheet pour envoyer des liens de phishing qui passent toutes les vérifications standard d'authentification des courriels.
Les filtres anti-spam peuvent-ils bloquer ces courriels d'hameçonnage ?
La plupart des filtres traditionnels ne peuvent pas les bloquer, car les courriels proviennent réellement de serveurs Google authentifiés. Les outils de sécurité tenant compte du contexte ou alimentés par l'intelligence artificielle sont mieux équipés pour détecter cette incohérence.
Comment puis-je protéger mon compte Facebook Business contre ce type d'attaque ?
Naviguez toujours directement sur Facebook pour vérifier si votre compte a fait l'objet d'une alerte. Ne suivez jamais les liens contenus dans des courriels non sollicités contenant des menaces légales, même si l'adresse de l'expéditeur semble provenir de Google.
Que dois-je faire si j'ai déjà saisi mon mot de passe sur la fausse page ?
Modifiez immédiatement votre mot de passe, vérifiez les sessions actives de votre compte et les applications connectées, et activez l'authentification à deux facteurs. Contactez l'équipe d'assistance de la plateforme concernée si vous soupçonnez un accès non autorisé.
Adam Collins est chercheur en cybersécurité chez ScamAdviser et travaille sous un pseudonyme pour des raisons de confidentialité et de sécurité. Avec plus de quatre ans d'expérience sur le front numérique, il s'est spécialisé dans la traduction de menaces complexes en conseils exploitables. Sa mission : dévoiler les signaux d'alarme pour que vous puissiez naviguer en toute confiance sur le web.
