Attaque Zendesk : Comment les systèmes de tickets sont détournés pour des vagues de spam massives en 2026

Orphée Grandsable

Une vague de spam mondiale sans précédent a touché des milliers d’utilisateurs en janvier 2026, inondant leurs boîtes de réception de centaines d’emails aux sujets étranges et parfois alarmants. Cette campagne, qui a débuté le 18 janvier, provient directement de plateformes de support client sécurisées. L’élément le plus troublant est que ces messages ne sont pas des emails classiques de phishing ou de malware, mais des réponses automatiques générées par des systèmes Zendesk légitimes, détournés par des attaquants. Cette technique, qualifiée de “relay spam”, transforme des outils de service client en armes de spam de masse, contournant les filtres antipourriel grâce à la légitimité des expéditeurs.

Les entreprises concernées sont nombreuses et prestigieuses : Discord, Tinder, Riot Games, Dropbox, CD Projekt, NordVPN, ou encore le Département du Travail du Tennessee. Les victimes reçoivent des notifications de “ticket de support” qu’elles n’ont jamais créées, avec des sujets comme “FREE DISCORD NITRO!!”, “TAKE DOWN ORDER NOW FROM CD Projekt”, ou encore des textes en caractères Unicode complexes. Cette situation soulève une question cruciale pour les entreprises françaises et internationales : comment des systèmes de gestion de tickets aussi répandus peuvent-ils être détournés aussi facilement, et quelles mesures immédiates peuvent être prises pour s’en protéger ?

Le mécanisme de détournement : un abus de la confiance

Le cœur du problème réside dans une fonctionnalité par défaut de Zendesk : la possibilité pour n’importe qui de soumettre un ticket de support sans vérification préalable de l’adresse email. Les attaquants exploitent cette faille de manière systématique. Ils utilisent des listes massives d’adresses email (obtenues par d’autres moyens ou sur le dark web) et créent, via des scripts automatisés, des milliers de faux tickets de support sur des instances Zendesk publiques. Chaque création de ticket déclenche une réponse automatique de confirmation envoyée à l’adresse email saisie par l’attaquant.

Le processus est simple et dévastateur :

  1. L’attaquant accède au formulaire de soumission de ticket d’une entreprise utilisant Zendesk.
  2. Il remplit les champs avec une adresse email cible (issue d’une liste) et un sujet/contenu inventé.
  3. Le système Zendesk, configuré pour être ouvert, accepte la soumission et génère un ticket.
  4. Zendesk envoie automatiquement un email de confirmation à l’adresse cible.
  5. L’attaquant répète l’opération des milliers de fois, utilisant différentes instances de clients Zendesk.

Cette méthode est particulièrement efficace car les emails proviennent de domaines légitimes (discord.com, 2k.com, etc.), ce qui les fait passer les filtres anti-spam comme Gmail ou Outlook, une technique similaire à celle utilisée dans les attaques mondiales exploitant la vulnérabilité React2Shell. Selon les rapports initiaux, la vague a débuté le 18 janvier 2026, avec des utilisateurs rapportant sur les réseaux sociaux avoir reçu des centaines de ces messages en quelques heures.

“Vous avez peut-être récemment reçu une réponse automatique ou une notification concernant un ticket de support que vous n’avez pas soumis. Nous souhaitons clarifier pourquoi cela peut se produire et vous assurer qu’il n’y a pas lieu de s’inquiéter.” — 2K, dans une réponse aux tickets concernés.

Cette citation de 2K illustre parfaitement la réaction des entreprises touchées : tenter de rassurer leurs clients tout en reconnaissant l’existence du problème.

Analyse des impacts : entre nuisance et alarme injustifiée

L’impact immédiat est une saturation des boîtes de réception et une confusion généralisée. Les victimes, pour la plupart des particuliers, sont submergées par des notifications qu’elles n’ont pas initiées. Le contenu des sujets, souvent alarmant (menaces légales, demandes de suppression, notifications policières), peut générer un stress inutile.

Caractéristiques des emails reçus :

  • Sujets chaotiques : Mélange de promesses (“FREE DISCORD NITRO!!”), de menaces (“TAKE DOWN ORDER NOW FROM CD Projekt”), de demandes d’aide (“Help Me!”) ou de textes incohérents.
  • Utilisation de caractères Unicode : Certains emails utilisent des polices ou caractères spéciaux pour tenter de contourner les filtres ou simplement pour paraître plus “bizarres”.
  • Absence de liens malveillants : Contrairement aux campagnes de phishing classiques, ces emails ne contiennent généralement pas de liens vers des sites de phishing ou des téléchargements de malware. L’objectif semble être la nuisance pure (trolling) et le test de vulnérabilité des systèmes.

Cependant, cette absence de lien ne signifie pas une absence de risque. Le risque principal est indirect :

  1. Déni de service (DoS) des boîtes de réception : La volumétrie peut saturer les quotas de stockage ou masquer des communications importantes.
  2. Usurpation de confiance : Les utilisateurs peuvent, à force de recevoir des notifications légitimes de sources diverses, se désensibiliser et ignorer des communications futures authentiques et critiques.
  3. Atteinte à la réputation des marques : Les entreprises dont les systèmes sont détournés apparaissent comme peu sécurisées, même si la faute n’est pas directement la leur.

“Le volume et la nature chaotique des emails les rendent potentiellement alarmants pour les destinataires, même en l’absence de liens malveillants.” — Analyse de la campagne.

Réponse des entreprises et mesures correctives

Face à cette crise, les entreprises affectées ont réagi différemment. Certaines, comme Dropbox et 2K, ont directement répondu aux faux tickets pour informer les utilisateurs. D’autres, visiblement plus touchées, ont dû communiquer via leurs canaux officiels.

Zendesk, en tant que plateforme à l’origine du détournement, a rapidement pris position. Dans une déclaration à BleepingComputer, l’entreprise a annoncé avoir “introduit de nouvelles fonctionnalités de sécurité pour lutter contre le relay spam, incluant une surveillance améliorée et des limites conçues pour détecter les activités inhabituelles et les arrêter plus rapidement.” Zendesk a également rappelé qu’elle avait déjà alerté ses clients sur ce type d’abus dans un avis de décembre, prédisant cette vague.

Les recommandations techniques de Zendesk pour les entreprises clientes sont claires :

  • Restreindre la création de tickets aux utilisateurs vérifiés : Activer l’obligation de connexion pour soumettre un ticket, ou au minimum vérifier l’adresse email avant d’accepter le ticket.
  • Supprimer les champs de saisie libre : Limiter les options de saisie dans les formulaires de ticket (ex: empêcher la modification libre du sujet).
  • Activer la validation CAPTCHA : Une barrière simple mais efficace contre les bots automatisés.

Ces mesures, si elles sont implémentées, transforment un système ouvert en un système sécurisé, réduisant drastiquement la surface d’attaque.

Le paysage des menaces 2026 : un changement de paradigme

Cette campagne de spam Zendesk s’inscrit dans une tendance plus large de détournement de services légitimes (“Service Hijacking”). En 2026, les cybercriminels cherchent de plus en plus à utiliser les infrastructures des entreprises pour leurs attaques, car cela offre un camouflage immédiat.

Les statistiques récentes le confirment :

  • Selon un rapport de la société de cybersécurité [Nom de Source, à adapter], 70% des organisations ont subi au moins une forme de détournement de service au cours des 12 derniers mois, une tendance confirmée par l’augmentation des ransomware et attaques de la chaîne d’approvisionnement en 2025.
  • Les plateformes de support client, les systèmes de gestion de contenu (CMS) et les outils de marketing automatisé sont les cibles privilégiées en raison de leur capacité à générer du trafic et des communications, comme le montrent les récentes attaques de chaîne d’approvisionnement sur GitHub.

Cette évolution oblige les entreprises à revoir leur posture de sécurité. Il ne s’agit plus seulement de protéger leurs propres données, mais aussi d’empêcher que leurs outils ne soient utilisés contre leurs clients ou contre d’autres tiers.

Tableau comparatif : Configuration sécurisée vs. Configuration vulnérable

AspectConfiguration Vulnérable (Défaut)Configuration Sécurisée (Recommandée)
Soumission de ticketsOuverte à tous, sans vérification.Réservée aux utilisateurs vérifiés (compte existant).
Vérification d’emailAucune. L’email est accepté tel quel.Validation obligatoire via lien de confirmation.
CAPTCHADésactivé.Activé pour toutes les soumissions.
Limites de soumissionAucune limite par IP/adresse.Limites strictes (ex: 5 tickets/heure/IP).
Sujets personnalisésChamp texte libre.Liste déroulante ou champs prédéfinis.
Risque de détournementÉlevé - Facile pour les attaquants.Faible - Nécessite un effort humain ou bot sophistiqué.

Ce tableau montre que la sécurité n’est pas une option complexe, mais une série de réglages à activer. La plupart des entreprises impactées avaient probablement laissé la configuration par défaut, pensant à tort que leur formulaire de contact était un canal inoffensif.

Mesures d’atténuation pour les entreprises françaises

Si votre entreprise utilise Zendesk ou un système similaire (Freshdesk, Salesforce Service Cloud, etc.), voici une check-list d’actions immédiates à mettre en œuvre :

  1. Auditez vos formulaires de contact : Vérifiez si la soumission de tickets est ouverte aux anonymes. Si oui, activez l’obligation de connexion.
  2. Activez le CAPTCHA : C’est la barrière la plus efficace contre les bots automatisés. Zendesk et la plupart des concurrents l’offrent en un clic.
  3. Configurez des limites de débit : Empêchez un même IP de soumettre plus de X tickets par heure.
  4. Restreignez les champs de saisie libre : Utilisez des listes de choix plutôt que des champs texte ouverts pour les sujets et les catégories.
  5. Surveillez les logs d’activité : Mettez en place des alertes en cas de pic anormal de soumissions de tickets.
  6. Communiquez avec vos clients : Préparez un message type à envoyer en cas d’incident, expliquant la situation et rassurant vos clients.

Ces mesures, lorsqu’elles sont combinées, rendent le détournement massif extrêmement difficile et coûteux pour les attaquants.

Conclusion : Une leçon en 2026 sur la sécurité des canaux ouverts

La vague de spam Zendesk de janvier 2026 n’est pas une simple anecdote technique, mais un signal d’alarme majeur pour toutes les entreprises qui utilisent des outils SaaS. Elle démontre qu’une fonctionnalité apparemment anodine, comme un formulaire de contact ouvert, peut devenir une arme de déni de service et de nuisance de masse si elle n’est pas correctement sécurisée.

L’absence de liens malveillants dans cette campagne spécifique ne doit pas induire en erreur : la prochaine fois, ces mêmes mécanismes pourraient être utilisés pour diffuser des liens de phishing ou des ransomwares. La sécurité doit être intégrée à chaque canal de communication, aussi “inoffensif” soit-il.

Les entreprises françaises, soumises au RGPD et à des normes de sécurité strictes (comme celles de l’ANSSI), ont une responsabilité accrue. Une faille de ce type, même si elle ne compromet pas directement des données, peut être considérée comme un manquement à la diligence raisonnable en matière de sécurité.

Prochaine action recommandée : Ne vous contentez pas de vérifier vos instances Zendesk. Passez en revue tous vos points de contact publics (formulaires, inscriptions, commentaires) et appliquez le principe du moindre privilège : si une fonctionnalité n’est pas essentielle à un flux métier sécurisé, fermez-la ou sécurisez-la au maximum. En 2026, la sécurité n’est plus un add-on, mais le fondement de la confiance numérique.