Si vous tapez « my business » dans Google pour accéder à votre fiche d’établissement, arrêtez tout et lisez ces lignes avant votre prochaine connexion. Depuis le début du mois de juin 2026, une publicité malveillante se glisse en tête des résultats sur cette requête précise et imite à la perfection l’interface de connexion de Google. Le but est limpide : récupérer vos identifiants et prendre le contrôle de votre compte. La bonne nouvelle, c’est que la parade tient en une habitude simple à acquérir. Je suis consultant SEO et je passe mes journées dans les comptes Google de gens qui gèrent leur visibilité locale. Alors voici, sans détour, le plan d’action concret pour ne jamais tomber dans ce genre de piège, et pour réagir vite si le mal est déjà fait.

La réponse courte tient en une phrase : ne passez jamais par une publicité pour vous connecter à un service Google, tapez vous-même l’adresse du tableau de bord dans votre navigateur ou utilisez un favori que vous avez créé. Tout le reste découle de ce réflexe. Le détail de l’attaque est instructif, car il révèle pourquoi des professionnels aguerris se font avoir, et comment refermer une à une les portes que ce type d’arnaque cherche à ouvrir.

Comprendre le mécanisme avant de le déjouer

Le piège exploite une habitude, pas une faille technique. Des millions de personnes ne mémorisent pas l’adresse exacte du tableau de bord de leur fiche d’établissement. Alors elles font ce qui est devenu un réflexe : elles tapent deux mots dans la barre de recherche et cliquent sur le premier lien qui ressemble à ce qu’elles cherchent. Les attaquants le savent. Ils ont acheté une annonce qui se déclenche sur cette requête et qui affiche un visuel quasi identique à celui d’un service officiel. Rien dans l’apparence ne sonne l’alarme, et c’est précisément ce qui rend l’opération efficace.

Le scénario se déroule en plusieurs temps. Vous cliquez sur l’annonce. Une fenêtre surgit, reproduisant fidèlement un formulaire de connexion. Un observateur attentif a noté un détail révélateur lors d’un test : il a saisi une adresse de courriel qui n’existe pas, et le faux formulaire l’a laissé continuer comme si de rien n’était. Or un vrai écran de connexion aurait bloqué la suite, faute de compte correspondant. Cette absence de vérification est l’un des rares signaux qui trahissent la supercherie. Plus loin dans la manipulation, on vous invite à copier puis à coller un code sur votre machine. À la seconde où vous exécutez cette commande, vous accordez potentiellement un accès à votre ordinateur, à vos mots de passe enregistrés et à vos fichiers, tout en restant persuadé d’être sur une page authentique.

La rareté de l’attaque ne doit pas rassurer. Ce genre de campagne n’est pas un phénomène quotidien, mais sa portée est large : la requête visée est l’une des plus courantes chez les indépendants, les commerçants et les responsables marketing. Une seule fenêtre d’exposition de quelques heures suffit à piéger un grand nombre de comptes. La leçon n’est donc pas « cela n’arrive jamais », mais « cela peut arriver à n’importe qui, n’importe quand, sur la requête la plus banale ».

Les sept étapes pour verrouiller vos accès dès aujourd’hui

Étape une : changez votre porte d’entrée. La mesure la plus efficace ne coûte rien. Créez dès maintenant un favori, dans votre navigateur, qui pointe directement vers le tableau de bord de gestion de votre fiche. Donnez-lui un nom clair, placez-le dans votre barre de favoris, et prenez l’habitude de cliquer dessus plutôt que de relancer une recherche à chaque fois. Vous supprimez ainsi, d’un seul geste, toute exposition aux annonces piégées sur cette requête.

Étape deux : apprenez à lire une adresse web. Avant de saisir le moindre identifiant, regardez l’adresse affichée dans la barre du navigateur, pas le texte du lien sur lequel vous avez cliqué. Un domaine légitime appartient au service que vous croyez utiliser, sans ajout suspect, sans sous-domaine inhabituel, sans faute d’orthographe discrète. Si quoi que ce soit cloche, fermez l’onglet. Cette vérification de deux secondes est votre meilleure assurance.

Étape trois : activez une double authentification robuste. Un mot de passe volé ne devrait jamais suffire à ouvrir votre compte. Activez une seconde couche de protection, et privilégiez les méthodes les plus solides : une clé physique de sécurité ou une application qui génère des codes, plutôt qu’un simple message texte, plus facile à intercepter. Même si un attaquant capte votre mot de passe, il bute alors sur un obstacle qu’il ne peut franchir à distance.

Étape quatre : adoptez un gestionnaire de mots de passe. Au-delà du confort, ces outils rendent un service de sécurité précieux : ils ne remplissent automatiquement vos identifiants que sur le domaine exact pour lequel ils ont été enregistrés. Sur une fausse page, le gestionnaire reste muet. Ce silence est en soi une alerte : si l’outil refuse de proposer votre mot de passe sur un site que vous pensez connaître, c’est probablement que vous n’êtes pas où vous croyez.

Étape cinq : ne collez jamais une commande qu’on vous dicte. C’est une règle absolue. Aucun service sérieux ne vous demandera de copier un code et de l’exécuter sur votre ordinateur pour vous connecter. Dès qu’une page vous propose cette manipulation, considérez-la comme hostile. Cette technique est devenue l’un des vecteurs préférés des attaquants car elle contourne les protections du navigateur en faisant agir la victime elle-même.

Étape six : méfiez-vous des fenêtres surgissantes de connexion. Une demande d’identifiants qui apparaît dans une petite fenêtre flottante, par-dessus une autre page, mérite une vigilance accrue. Plutôt que d’y saisir quoi que ce soit, fermez-la et rejoignez le service par votre favori. Vous vérifierez ainsi, par un canal sûr, si une connexion était réellement nécessaire.

Étape sept : formez les personnes qui partagent vos accès. Si plusieurs collaborateurs gèrent la même présence en ligne, votre niveau de sécurité est celui du maillon le plus distrait. Partagez ces réflexes, expliquez le mécanisme du piège, et instaurez une règle commune : on ne se connecte que depuis un favori vérifié, jamais depuis une publicité.

Réagir vite si vous pensez avoir mordu à l’hameçon

Le temps joue contre vous, agissez dans l’ordre. Si vous avez saisi vos identifiants sur une page douteuse, ou pire, exécuté une commande qu’on vous a dictée, ne paniquez pas mais ne tergiversez pas non plus. La première action consiste à changer votre mot de passe depuis un appareil que vous estimez sain, en passant par l’adresse officielle saisie à la main. Choisissez un mot de passe entièrement nouveau, jamais réutilisé ailleurs.

Coupez les sessions actives. La plupart des comptes permettent de consulter la liste des appareils connectés et de déconnecter à distance toutes les sessions ouvertes. Faites-le immédiatement après le changement de mot de passe. Vous expulsez ainsi un éventuel intrus qui aurait déjà ouvert une session avec vos identifiants volés.

Vérifiez les paramètres qui survivent à un changement de mot de passe. Les attaquants savent qu’une victime finit souvent par modifier son mot de passe. Ils installent donc des portes dérobées plus discrètes : une adresse de récupération qu’ils contrôlent, un numéro de téléphone ajouté, une règle qui transfère automatiquement vos courriels, ou des autorisations accordées à des applications tierces. Passez en revue chacun de ces réglages et supprimez tout ce que vous ne reconnaissez pas. Tant que ces accès parallèles subsistent, le simple changement de mot de passe ne suffit pas.

Inspectez votre machine si vous avez exécuté une commande. Le passage le plus dangereux de cette attaque est celui où l’on vous fait coller du code sur votre ordinateur. Si vous êtes allé jusque-là, considérez que la machine peut être compromise. Lancez une analyse complète avec un outil de sécurité à jour, et en cas de doute sérieux, faites examiner l’appareil par une personne compétente avant de vous y reconnecter à des comptes sensibles. Changez ensuite, depuis un autre appareil, les mots de passe des services importants qui étaient peut-être enregistrés dans le navigateur.

Prévenez votre entourage professionnel. Si votre compte donne accès à des outils partagés, informez vos collaborateurs qu’une compromission est possible. Ils pourront surveiller toute activité anormale et éviter de faire confiance à des messages qui sembleraient provenir de vous pendant cette période.

Construire une hygiène numérique durable

La sécurité n’est pas un événement, c’est une routine. Les épisodes comme celui-ci passent, mais le mode opératoire reste. Demain, ce sera une autre requête, un autre service, un autre visuel imité. La seule protection qui tient dans la durée est un ensemble d’habitudes que vous appliquez sans même y penser. Considérez chaque demande de connexion non sollicitée comme suspecte par défaut, et accordez votre confiance seulement après vérification, jamais l’inverse.

Séparez vos usages et limitez la casse. Réutiliser le même mot de passe sur plusieurs services revient à confier toutes vos clés à un seul porte-clés : le voler une fois ouvre toutes les portes. Des identifiants uniques par service contiennent l’incident à un seul compte. De même, réfléchissez à ce que chaque compte peut atteindre. Un accès professionnel ne devrait pas être lié à votre messagerie personnelle ni à vos données privées.

Faites de la vérification un automatisme partagé. Dans une équipe, la sécurité ne repose pas sur la vigilance d’une seule personne. Documentez les bons réflexes dans un mémo simple, rappelez-les périodiquement, et désignez quelqu’un vers qui remonter le moindre doute. Une question posée à temps évite bien des heures de remédiation. La culture compte autant que les outils : un collaborateur qui sait qu’il peut signaler un message étrange sans crainte d’être jugé est votre meilleure ligne de défense.

Restez informé sans céder à l’anxiété. Suivre l’actualité de la sécurité ne sert pas à vivre dans la peur, mais à reconnaître les schémas. Les attaques se ressemblent plus qu’on ne croit : usurpation d’une marque de confiance, urgence fabriquée, manipulation qui pousse à agir vite. Une fois ces ressorts identifiés, vous les repérez dans n’importe quelle nouvelle variante. C’est cette lucidité tranquille, et non la méfiance permanente, qui protège sur le long terme.

FAQ

Comment reconnaître une fausse page de connexion Google ?

Plusieurs indices se cumulent. D’abord, l’adresse affichée dans la barre du navigateur : elle doit correspondre exactement au domaine officiel, sans ajout ni faute. Ensuite, le comportement du formulaire : un faux écran accepte parfois une adresse de courriel inexistante sans broncher, là où un vrai vous arrêterait. Enfin, toute demande de copier-coller d’un code à exécuter sur votre machine est un signal d’alarme absolu. Dans le doute, fermez la fenêtre et rejoignez le service par un favori que vous avez vous-même créé.

Est-il vraiment risqué de cliquer sur une publicité pour se connecter ?

Le clic seul ne vide pas votre compte, mais il vous place sur un terrain que vous ne contrôlez pas. Une publicité peut conduire vers une page conçue pour imiter un service de confiance et capter vos identifiants. Le principe à retenir est simple : on ne se connecte jamais à un service important en passant par une annonce. On tape l’adresse soi-même ou on utilise un favori vérifié. Ce réflexe supprime d’emblée toute la catégorie de pièges qui reposent sur les liens sponsorisés.

J’ai déjà saisi mes identifiants sur une page suspecte, que faire en premier ?

Agissez dans l’ordre et sans attendre. Changez votre mot de passe depuis un appareil sain, en passant par l’adresse officielle saisie à la main. Déconnectez ensuite toutes les sessions actives. Vérifiez que personne n’a ajouté une adresse de récupération, un numéro ou une règle de transfert de courriels à votre insu. Si vous avez exécuté une commande sur votre ordinateur, analysez la machine et faites-la examiner en cas de doute. Prévenez enfin vos collaborateurs si le compte est partagé.

Ce genre d’épisode finit toujours par retomber, mais il laisse une trace utile si on accepte d’en tirer la leçon. Le piège ne reposait pas sur une prouesse technique : il s’appuyait sur une habitude, celle de chercher au lieu de mémoriser une adresse sûre. Reprendre la main, c’est précisément remplacer un réflexe vulnérable par un réflexe protecteur, et le transmettre autour de soi. La prochaine campagne malveillante prendra une autre forme, visera une autre requête, empruntera un autre visage de confiance. Mais celui qui se connecte toujours par sa propre porte, et qui doute par principe de toute connexion qu’il n’a pas lui-même initiée, regardera passer ces vagues sans en être emporté. La vigilance n’est pas une corvée : c’est simplement la version adulte de la curiosité.