Google attaque en justice Outsider, usine à phishing dopée à l’IA

Google poursuit un réseau cybercriminel chinois présumé. Enjeu, casser une chaîne industrielle du phishing qui a déjà touché des centaines de milliers de victimes.

Un million de domaines frauduleux, 2,5 millions de SMS envoyés à des utilisateurs Android en deux semaines, 9.000 faux sites. La plainte déposée par Google contre Outsider Enterprise raconte moins une campagne de phishing classique qu’une vraie industrie de l’escroquerie.

Une chaîne de fraude pensée comme un service

Selon Google, Outsider est vendu comme un logiciel presque prêt à l’emploi, environ 77 euros (88$) par semaine ou environ 175 euros (200$) par mois. L’idée est simple, et franchement inquiétante, permettre à des profils peu techniques de lancer des attaques crédibles avec l’aide de plateformes d’IA, y compris Gemini.

La plainte décrit plus de 290 modèles préconçus imitant des sites légitimes, capables de produire des copies en quelques minutes, avec en plus des guides pour exploiter du code généré par IA. On n’est plus dans le bricolage. On est dans un phishing en mode SaaS, avec tableau de bord de suivi des campagnes et entraide sur des canaux Telegram où les membres échangent méthodes, formation et ciblage.

Des volumes qui changent la nature du risque

Le point qui frappe, c’est l’échelle. Google parle de centaines de milliers de victimes et de pertes chiffrées en millions. Sur une période de cinq mois, du 14 novembre 2025 au 14 avril 2026, le groupe dit avoir détecté plus de 1,59 million d’URL liées à l’opération.

Même les signaux côté utilisateur sont massifs. En mai, 55.000 SMS indésirables ont été signalés en deux semaines par des utilisateurs Android, soit plus de deux plaintes par minute. Et ce n’est qu’une partie du tableau, puisque la campagne aurait permis de voler au moins 36.000 cartes de paiement émises dans 95 pays.

Pourquoi Google passe du blocage au judiciaire

Google explique déjà intercepter plus de 10 milliards de messages frauduleux par mois grâce à des outils d’IA capables de détecter les appels et SMS suspects. Mais le blocage ne suffit visiblement plus quand l’infrastructure se recompose vite et utilise aussi des briques maison comme Google Drive ou Google Cloud pour héberger des sites frauduleux.

D’où la bascule vers le terrain judiciaire. L’entreprise dit travailler avec AT&T, T-Mobile et Verizon pour couper les SMS, tout en se coordonnant avec le FBI. Le bureau fédéral indique avoir saisi plusieurs domaines, ainsi que des vitrines et comptes Shopify utilisés pour tester le service de phishing.

Un écosystème criminel complet, du ciblage au blanchiment

La structure décrite par Google est assez nette. D’un côté, ceux qui développent les outils et les modèles. De l’autre, ceux qui alimentent les listes de cibles à partir de registres publics, de réseaux sociaux et de fuites de données. S’ajoutent un groupe chargé de l’envoi massif de SMS via banques de smartphones, cartes SIM et modems, puis les acteurs qui monétisent les identifiants volés et blanchissent l’argent.

Le FBI va encore plus loin et estime que la plateforme a servi, depuis juillet 2023, à voler au moins 3,87 millions de cartes bancaires, pour environ 1,66 milliard d’euros (1.9B$) de pertes. Google réclame des dommages compensatoires et punitifs, et veut surtout obtenir l’arrêt des activités. Pour l’écosystème mobile, c’est le vrai sujet, couper la chaîne opérationnelle, pas seulement filtrer ses messages.