En bref

  • Campagne "Pushpaganda" identifiée par HUMAN Satori : abus de Google Discover via faux articles générés par IA.
  • Objectif : piéger l'utilisateur pour activer les notifications navigateur et diffuser scareware et fraudes.
  • Combine SEO poisoning, contenu généré par IA et ingénierie sociale de persistance.

Les faits

L'équipe Satori Threat Intelligence de HUMAN a publié le 17 avril 2026 une analyse d'une opération de fraude publicitaire baptisée Pushpaganda. La chaîne d'attaque s'appuie sur l'empoisonnement du flux Google Discover : les attaquants publient des articles massivement générés par IA, imitant des sources d'information grand public, et optimisent leur référencement pour apparaître dans les recommandations personnalisées des smartphones Android. Source : HUMAN Security (équipe Satori), The Hacker News.

Une fois que l'utilisateur clique sur un article piégé, il est redirigé vers un domaine contrôlé par l'attaquant. La page incite à accepter les notifications push du navigateur. Dès l'autorisation accordée, les notifications diffusent de fausses alertes légales, des menaces de poursuites fictives et des messages scareware poussant à installer de faux antivirus, à appeler un support technique frauduleux ou à payer pour résoudre un problème inexistant. La persistance de ces notifications, même après fermeture du navigateur, rend la désinstallation difficile pour les utilisateurs non techniques.

Impact et exposition

Pushpaganda illustre une évolution significative de la fraude à la notification : la combinaison d'IA générative pour produire du contenu crédible à l'échelle, de SEO black-hat pour apparaître dans des flux éditorialisés comme Discover, et d'un vecteur web natif (les notifications) qui contourne les protections anti-malware classiques. Les cibles sont principalement des utilisateurs mobiles grand public, mais les mêmes techniques peuvent viser des collaborateurs d'entreprise consultant des actualités professionnelles sur leur téléphone personnel. Le risque collatéral : phishing vocal, installation de logiciels indésirables, vol de données bancaires via faux support.

Recommandations

  • Sensibiliser les collaborateurs à ne jamais accepter de notifications push depuis des sites d'actualité ou des recommandations Discover.
  • Configurer les navigateurs d'entreprise pour bloquer par défaut les demandes de notification (chrome://settings/content/notifications).
  • Auditer régulièrement la liste des sites autorisés à envoyer des notifications sur les postes gérés.
  • Déployer un filtrage DNS (type Quad9, NextDNS, solution entreprise) pour bloquer les domaines de scareware identifiés.
  • Intégrer un module "reconnaître les faux supports techniques" dans le programme de sensibilisation.

Comment différencier une vraie alerte navigateur d'un scareware ?

Un vrai message de sécurité (Windows Defender, macOS, antivirus installé) apparaît dans la zone système du navigateur ou dans les notifications natives de l'OS, jamais sous forme de popup plein écran avec un numéro de téléphone ou un bouton "Contacter le support". Toute alerte qui demande d'appeler un numéro ou de télécharger un outil est du scareware.

Comment supprimer les notifications malveillantes déjà installées ?

Dans Chrome : Paramètres → Confidentialité et sécurité → Paramètres des sites → Notifications, puis révoquer les autorisations des domaines inconnus. Dans Firefox : about:preferences#privacy → Notifications → Paramètres. En cas de persistance, réinitialiser les paramètres du navigateur ou créer un nouveau profil utilisateur.

Sur les techniques de social engineering émergentes, consultez notre article sur la campagne PHANTOMPULSE via Obsidian et notre dossier sur le démantèlement du kit phishing W3LL.

Vos collaborateurs reconnaissent-ils ces pièges ?

Ayi NEDJIMI conçoit des programmes de sensibilisation adaptés aux menaces actuelles, avec simulations réelles et mesure d'efficacité trimestrielle.

Demander un programme