Depuis cette nuit, un réflexe banal est devenu dangereux : taper « my business » dans Google pour rejoindre sa fiche d’établissement. Si vous gérez la présence locale d’une entreprise, c’est probablement le chemin que vous empruntez chaque semaine sans y penser. Le problème, c’est qu’une annonce frauduleuse s’est glissée tout en haut des résultats et qu’elle imite à la perfection une communication officielle. Ma réponse, en tant que consultant qui surveille ces dérives au quotidien, tient en une phrase : ne cliquez plus sur l’annonce, allez directement à l’adresse du service dans votre navigateur. Cette campagne a été repérée en pleine nuit, elle était encore active plusieurs heures après, et elle vise une chose précise : récupérer vos identifiants pour prendre le contrôle de votre compte Google.

Ce genre d’attaque n’est pas une nouveauté absolue dans l’univers de la publicité en ligne, mais la cible et le timing changent la donne. Les fraudeurs ont compris que des milliers de professionnels passent par cette requête générique au lieu de mémoriser l’URL exacte de leur tableau de bord. C’est ce raccourci d’habitude qu’ils exploitent. Je vous propose de décortiquer le mécanisme, de comprendre pourquoi il fonctionne aussi bien, et surtout d’adopter dès aujourd’hui les bons gestes pour ne pas y laisser les clés de votre identité numérique.

Ce qui vient de se passer, concrètement

Le déclencheur est une simple recherche. Quand un professionnel veut administrer sa fiche d’établissement, il tape souvent « my business » plutôt que de saisir l’adresse complète du gestionnaire. C’est rapide, c’est devenu un automatisme. Or, depuis la fin de nuit du 4 juin 2026, cette requête fait remonter une annonce sponsorisée qui ressemble à s’y méprendre à une communication émanant de Google lui-même. La mise en forme, le logo, le ton : tout est calibré pour inspirer confiance en une fraction de seconde.

Le piège se referme après le clic. En cliquant sur l’un des liens de cette annonce, l’internaute voit apparaître une fenêtre de connexion qui reproduit fidèlement l’écran d’authentification habituel. Sauf qu’il s’agit d’une coquille vide hébergée par les attaquants. Un détail révélateur a été relevé par celui qui a documenté l’attaque : la fausse interface accepte n’importe quelle adresse, même une adresse qui n’existe pas. Un vrai formulaire vous bloquerait après l’étape de saisie de l’e-mail, en vous indiquant que le compte est introuvable. Ici, la machine vous laisse avancer, parce que son seul objectif est de capturer ce que vous tapez.

La dernière étape transforme le vol d’identifiants en compromission totale. Le scénario ne s’arrête pas à la récupération d’un mot de passe. La manipulation pousse la victime à coller un code, et c’est là que tout bascule : ce geste accorde aux fraudeurs un accès à la machine elle-même. Mots de passe enregistrés, fichiers, sessions ouvertes : tout devient potentiellement accessible. Pendant toute la séquence, la personne reste persuadée d’évoluer sur une page authentique appartenant à Google. C’est cette illusion de continuité qui rend l’attaque redoutable, et qui explique pourquoi je tiens à la signaler publiquement plutôt que d’attendre qu’elle disparaisse d’elle-même.

Pourquoi cette arnaque fonctionne aussi bien

Elle s’appuie sur la confiance que nous accordons au premier résultat. Des années de pédagogie sur le référencement nous ont appris à valoriser ce qui apparaît en tête de page. Le réflexe collectif consiste à cliquer en haut, là où l’œil se pose en premier, sans toujours distinguer le bloc publicitaire du résultat naturel. Les attaquants n’ont rien inventé : ils ont acheté l’espace que tout le monde regarde et l’ont habillé pour qu’il ressemble à une source officielle. La frontière visuelle entre une annonce et un lien organique s’est tellement amincie au fil des refontes successives des pages de résultats qu’une mention discrète ne suffit plus à alerter un professionnel pressé.

Elle exploite une faille humaine, pas une faille technique. Aucun système n’a été piraté au sens classique du terme. Personne n’a forcé une serrure. La campagne mise entièrement sur l’ingénierie sociale : reproduire des codes graphiques familiers, créer un sentiment de légitimité, et compter sur la vitesse à laquelle nous validons une page que nous croyons connaître. C’est précisément ce qui la rend difficile à bloquer par des outils automatisés. Une fausse page de connexion bien faite ne déclenche pas forcément les mêmes signaux d’alerte qu’un logiciel malveillant. Et tant que des internautes mordent, l’opération reste rentable pour ses commanditaires.

Elle vise une population à forte valeur. Un compte Google rattaché à une fiche d’établissement n’est pas un compte anodin. Il commande la visibilité locale d’un commerce, ses avis, ses informations de contact, parfois ses campagnes publicitaires et ses outils analytiques. Prendre le contrôle d’un tel compte, c’est mettre la main sur un actif stratégique. Les fraudeurs le savent, et c’est pour cette raison qu’ils ciblent une requête professionnelle plutôt qu’une recherche grand public. Le retour sur investissement d’un compte détourné est sans commune mesure avec celui d’un particulier.

Comment reconnaître le piège en quelques secondes

Le premier réflexe à acquérir : se méfier de l’urgence et de la perfection. Une annonce trop lisse, qui semble cocher toutes les cases de la légitimité, mérite paradoxalement plus de vigilance. Les attaques modernes ne ressemblent plus aux courriels grossiers d’autrefois, truffés de fautes. Elles soignent chaque pixel. Le signe le plus fiable n’est donc pas l’apparence, mais l’origine : par quel chemin êtes-vous arrivé sur cette page ? Si c’est via un bloc sponsorisé, la prudence s’impose, quelle que soit la qualité de la présentation.

Observez l’adresse réelle, pas le libellé affiché. Un lien peut afficher un texte rassurant tout en pointant vers un domaine étranger. Avant de cliquer, survolez le lien pour lire l’adresse de destination dans la barre d’état du navigateur. Une fois sur une page de connexion, vérifiez attentivement le domaine inscrit dans la barre d’adresse, caractère par caractère. Les fraudeurs adorent les variantes proches, les sous-domaines trompeurs et les extensions inhabituelles. Le test qui ne trompe pas, je l’ai évoqué plus haut : un véritable formulaire d’authentification refuse une adresse inexistante. Si l’écran vous laisse passer quoi que vous saisissiez, vous êtes sur une imitation.

Ne collez jamais un code dans un terminal ou une fenêtre sur simple sollicitation. C’est l’un des gestes les plus dangereux du moment. Dès qu’une page vous demande de copier puis de coller une suite de caractères pour « vérifier » quelque chose ou « débloquer » un accès, considérez que vous êtes face à une tentative de prise de contrôle. Aucune procédure légitime de connexion à une fiche d’établissement ne vous demandera ce type de manipulation. Ce détail, à lui seul, distingue une opération frauduleuse d’un parcours normal. Apprenez-le, et faites-le apprendre à vos équipes.

Les gestes à adopter maintenant pour protéger vos comptes

Tapez l’adresse directement, abandonnez la recherche générique. Le conseil paraît élémentaire, mais c’est le plus efficace. Plutôt que de chercher « my business » et de cliquer sur ce qui remonte, mémorisez l’adresse exacte de votre gestionnaire de fiche et saisissez-la dans la barre d’adresse, ou enregistrez-la dans vos favoris. Vous supprimez ainsi tout l’espace de manœuvre des annonces frauduleuses. C’est un changement d’habitude minime qui ferme la porte d’entrée principale de ce type d’attaque. Je le recommande désormais systématiquement aux professionnels que j’accompagne.

Activez une authentification à deux facteurs robuste. Même si vos identifiants venaient à fuiter, une seconde barrière complique considérablement la tâche des attaquants. Privilégiez les méthodes les plus solides, comme une clé physique ou une application dédiée, plutôt que le simple code par message qui reste vulnérable à certaines interceptions. Cette couche supplémentaire ne rend pas le compte invulnérable, mais elle transforme un vol instantané en obstacle sérieux, et fait souvent renoncer l’agresseur qui cherche la cible la plus facile.

Réagissez vite en cas de doute, et documentez. Si vous pensez avoir saisi vos informations sur une fausse page, changez immédiatement votre mot de passe depuis un appareil sain, révoquez les sessions actives, et vérifiez les accès tiers autorisés sur votre compte. Inspectez ensuite votre fiche d’établissement à la recherche de modifications suspectes : changement d’adresse, de numéro, d’horaires, ou ajout de gestionnaires inconnus. Signalez l’incident par les canaux officiels. Plus une compromission est repérée tôt, plus il est facile de reprendre la main avant que les dégâts ne s’étendent à votre visibilité et à votre réputation.

Faites circuler l’information dans votre organisation. Une campagne comme celle-ci ne reste pas en ligne éternellement, mais ses variantes reviennent sous d’autres formes. Le meilleur antidote durable, c’est une culture de la vigilance partagée. Expliquez à vos collaborateurs le mécanisme du faux écran de connexion et du code à coller. Une équipe informée constitue une protection bien plus fiable que n’importe quel filtre automatique, car elle repère les signaux faibles que les machines laissent parfois passer.

FAQ

Comment savoir si l’annonce sur laquelle j’ai cliqué était frauduleuse ? Plusieurs indices se cumulent. Vous êtes arrivé sur la page de connexion via un bloc sponsorisé plutôt qu’en saisissant l’adresse directement. La fenêtre d’authentification accepte n’importe quelle adresse, même fantaisiste, sans jamais signaler qu’elle est introuvable. Enfin, on vous demande de copier puis de coller un code quelque part. Si l’un de ces éléments est présent, partez du principe que la page est malveillante et interrompez tout immédiatement.

J’ai déjà saisi mes identifiants, que faire dans l’immédiat ? Agissez sans attendre, depuis un appareil dont vous êtes sûr. Modifiez votre mot de passe, déconnectez toutes les sessions ouvertes, et passez en revue les applications et appareils ayant accès à votre compte pour révoquer ce qui vous semble suspect. Activez ou renforcez l’authentification à deux facteurs. Contrôlez ensuite votre fiche d’établissement pour repérer toute modification non autorisée, et signalez l’incident par les voies officielles. La rapidité fait toute la différence.

Ce type d’attaque est-il vraiment répandu ou s’agit-il d’un cas isolé ? Les annonces conçues pour dérober des identifiants ne sont pas un phénomène quotidien, mais elles refont surface régulièrement sous des habillages variés. Ce qui rend le cas actuel notable, c’est qu’il cible une requête professionnelle très courante et qu’il a fonctionné pendant plusieurs heures. L’isolement apparent ne doit pas rassurer : le procédé est reproductible, et il suffit qu’une poignée de personnes tombent dans le panneau pour qu’il reste rentable et donc récurrent.

Ce qui me frappe dans cette affaire, ce n’est pas la sophistication technique, finalement assez limitée, mais la précision du ciblage psychologique. Les fraudeurs n’ont pas attaqué un système, ils ont attaqué une habitude. Tant que nous continuerons à chercher nos outils de travail par des requêtes génériques au lieu de connaître nos adresses, nous laisserons une porte entrouverte. La leçon dépasse largement cet incident précis : à mesure que la frontière entre contenu sponsorisé et résultat naturel s’estompe, notre vigilance ne peut plus reposer sur l’apparence d’une page. Elle doit reposer sur le chemin que nous empruntons pour y arriver. C’est peut-être le réflexe le plus précieux à transmettre dans les mois qui viennent.