Comment les systèmes Zendesk sont détournés pour des vagues de spam massives en 2026
Séraphine Clairlune
Une vague de spam mondiale sans précédent a été déclenchée par des systèmes de support Zendesk non sécurisés, inondant les boîtes de réception de centaines de milliers de victimes. En janvier 2026, des entreprises de renom comme Discord, Tinder ou Dropbox ont vu leurs plateformes de support détournées pour envoyer des milliers d’emails alarmants et chaotiques. Cette attaque ingénieuse exploitait une fonctionnalité légitime de Zendesk : la possibilité pour n’importe qui de soumettre un ticket de support sans vérification d’identité.
Les attaquants ont simplement créé des milliers de faux tickets en boucle, utilisant des adresses email de victimes potentielles. Le système Zendesk, par conception, répond automatiquement par un email de confirmation à chaque ticket. Résultat : des boîtes de réception inondées de messages aux sujets étranges, allant de « AIDEZ-MOI ! » à des faux ordres de retrait émanant de la « CD Projekt » ou de « l’État du Tennessee ». Bien que ces emails ne contiennent généralement pas de liens malveillants, leur volume et leur nature chaotique créent une confusion et une inquiétude considérables, d’autant qu’ils contournent les filtres anti-spam traditionnels en provenant de domaines de sociétés légitimes.
L’exploit technique : comment le détournement de fonctionnalité fonctionne
Le mécanisme au cœur de cette attaque repose sur une vulnérabilité de configuration plutôt que sur un piratage direct, similaire aux vulnérabilités exploitées par le botnet Rondodox sur les serveurs Next.js et IoT. Zendesk permet, par défaut, à tout utilisateur de soumettre un ticket de support sans créer de compte ni vérifier son adresse email. Cette fonctionnalité, conçue pour faciliter le contact client, devient une arme entre de mauvaises mains. Les attaquants utilisent des scripts pour automatiser la soumission de tickets, en itérant à travers de vastes listes d’adresses email qu’ils ont collectées ou générées, une technique qui rappelle les attaques de la chaîne d’approvisionnement ciblant les développeurs sur GitHub.
Pour chaque adresse email saisie dans le champ « email du demandeur », Zendesk génère automatiquement un email de confirmation indiquant que le ticket a été créé. En bouclant ce processus, les attaquants transforment les serveurs Zendesk en relais de spam massifs. Cette technique, que Zendesk qualifie de « relay spam », exploite la confiance inhérente aux communications légitimes. Les emails émis par ces plateformes sont signés par des domaines d’entreprises réputées (discord.com, dropbox.com, etc.), ce qui leur confère une crédibilité immédiate face aux filtres anti-spam.
« Vous avez peut-être récemment reçu une réponse automatisée ou une notification concernant un ticket de support que vous n’avez pas soumis. Nous voulons clarifier pourquoi cela pourrait s’être produit et vous assurer qu’il n’y a pas lieu de s’inquiéter. » — Message de 2K aux victimes
La complexité de l’attaque réside dans son aspect à double tranchant : elle n’endommage pas directement les systèmes ciblés, mais elle en compromet la réputation et la relation de confiance avec les clients. Les entreprises affectées, comme 2K, ont dû réagir rapidement pour rassurer leur base d’utilisateurs.
Le paysage des victimes : une attaque à portée mondiale
La vaste campagne, qui a débuté le 18 janvier 2026, a touché un éventail spectaculaire d’organisations à travers le globe. Les entreprises identifiées comme victimes de cette défaillance de configuration comprennent des géants de la tech, des services publics et des éditeurs de jeux vidéo. Voici un aperçu des secteurs impactés :
- Jeux vidéo & Divertissement : Discord, Tinder, Riot Games, CD Projekt (2k.com), Konami Digital Entertainment.
- Services Cloud & Productivité : Dropbox, NordVPN, Lightspeed, Kahoot, Headspace, Lime.
- Services Publics & Gouvernementaux : Tennessee Department of Labor, Tennessee Department of Revenue.
- Divers : Maya Mobile, CTL.
Cette liste n’est pas exhaustive, mais elle illustre la diversité des cibles. L’impact est d’autant plus significatif que ces entreprises sont souvent perçues comme des modèles de sécurité et de fiabilité. Pour les utilisateurs, recevoir un email émanant de Discord ou Dropbox, pourtant complètement légitime, mais à propos d’un ticket qu’ils n’ont jamais créé, crée un sentiment de confusion et de méfiance.
Le choix des sujets des emails a été particulièrement astucieux pour maximiser l’effet perturbateur. Les attaquants ont utilisé des formules conçues pour attirer l’attention et susciter l’inquiétude :
- Menaces fictives : « ORDRE DE RETRAIT MAINTENANT DE LA CD PROJET ».
- Faux envois légaux : « AVIS LÉGAL D’ISRAEL POUR KOEI TECMO ».
- Demande d’aide urgente : « HELP ME! » (AIDEZ-MOI !).
- Confirmations de dons : « DON CONFIRMÉ POUR L’ÉTAT DU TENNESSEE ».
- Mélange de langues et de caractères Unicode : certains sujets intègrent des caractères spéciaux ou des textes dans d’autres alphabets pour déjouer les analyses automatiques.
Pourquoi ces emails contournent-ils les filtres anti-spam ?
Le contournement des filtres anti-spam est l’élément clé qui rend cette attaque si efficace et intrusive. Les systèmes de filtrage traditionnels reposent sur plusieurs critères pour identifier le spam : l’adresse IP de l’expéditeur, la réputation du domaine, la présence de liens suspects ou de mots-clés typiques du spam. Ici, tous ces critères sont légitimes.
- Expéditeur légitime : Les emails sont envoyés depuis les serveurs de messagerie des entreprises elles-mêmes (par exemple, via support-discord.com). Ces serveurs ont une réputation excellente et sont rarement sur les listes noires.
- Domaine de confiance : Le domaine de l’expéditeur est celui d’une marque connue. Les clients ont souvent une relation de confiance avec ces marques et sont habitués à recevoir leurs communications.
- Absence de liens malveillants : Dans cette vague spécifique, les emails ne contiennent généralement pas de liens vers des sites de phishing ou de téléchargement de malware. Leur objectif semble être le dérangement et le troll, plutôt que le vol de données direct.
- Structure de l’email : Le format est celui d’une réponse automatisée standard de Zendesk, avec un numéro de ticket, un corps de message et un pied de page. Il ne présente pas les signaux d’alarme habituels.
Cette combinaison fait que les emails passent souvent directement dans la boîte de réception principale (inbox) plutôt que dans le dossier spam. Pour l’utilisateur, cela ajoute une couche d’angoisse supplémentaire : l’email semble non seulement réel, mais il provient d’une source qu’il considère comme fiable.
Mesures de réponse et recommandations de sécurité
Face à cette crise, les entreprises affectées et Zendesk lui-même ont pris des mesures correctives. La réponse illustre les différentes étapes qu’une organisation doit suivre lorsqu’elle est confrontée à un tel incident.
Réactions des entreprises cibles :
- Communication proactive : Des entreprises comme 2K et Dropbox ont immédiatement communiqué avec les victimes pour les rassurer et expliquer la situation. Elles ont clairement indiqué que les emails étaient le résultat d’un abus de leur système et qu’aucune action n’était nécessaire de la part des utilisateurs.
- Analyse et confinement : Les équipes de sécurité informatique ont dû analyser les logs pour comprendre l’étendue de l’abus et identifier les modèles d’attaque. Bien que la menace ne soit pas directe, le volume de trafic généré peut impacter les performances des serveurs.
Réponse de Zendesk : Zendesk a reconnu le problème et a annoncé le déploiement de nouvelles fonctionnalités de sécurité. Selon un porte-parole cité par BleepingComputer, l’entreprise a « introduit de nouvelles fonctionnalités de sécurité pour traiter le relay spam, incluant une surveillance améliorée et des limites conçues pour détecter une activité inhabituelle et l’arrêter plus rapidement. »
Recommandations pour les administrateurs Zendesk : Zendesk avait déjà publié un avertissement sur ce type d’abus en décembre 2025. Pour prévenir de telles attaques, les administrateurs sont encouragés à :
- Restreindre la soumission de tickets aux utilisateurs vérifiés : Modifier les paramètres pour exiger que les demandeurs aient un compte Zendesk vérifié ou une adresse email appartenant à un domaine approuvé.
- Supprimer les placeholders : Éviter de permettre des champs de sujet ou d’email libre qui pourraient être remplis par des scripts automatisés.
- Mettre en place des limites de taux (rate limiting) : Configurer des règles pour limiter le nombre de tickets pouvant être soumis depuis une même adresse IP ou un même domaine en un court laps de temps.
- Activer l’authentification multi-facteurs (MFA) : Pour les comptes administrateurs, afin de sécuriser l’accès aux paramètres critiques.
Tableau comparatif : Risques et atténuation pour les plateformes de support
| Risque de sécurité | Mécanisme d’attaque | Mesure d’atténuation recommandée | Impact sur l’utilisateur final |
|---|---|---|---|
| Relay Spam (Détournement de fonctionnalité) | Soumission automatisée de tickets avec des adresses email de victimes. | Restreindre la soumission aux utilisateurs vérifiés. Implémenter des limites de taux. | Inondation d’emails de confirmation légitimes mais non désirés. Confusion et perte de confiance. |
| Phishing via tickets | Création de tickets contenant des liens malveillants ou des demandes d’informations sensibles. | Filtrer les liens dans les tickets. Vérifier manuellement les demandes sensibles. Risque de vol d’identifiants ou de données. | |
| Déni de service (DoS) | Soumission massive de tickets pour surcharger les serveurs ou les équipes de support. | Limitation stricte des requêtes par IP/heure. Détection d’anomalies. Impact sur la disponibilité du service client. | |
| Fuite de données | Abus d’une API ou d’un export pour extraire des informations sur les tickets ou les utilisateurs. | Audit des permissions d’API. Chiffrement des données au repos et en transit. Perte de données confidentielles. |
Conclusion : Une menace persistante et les leçons à retenir
La vague de spam mondiale exploitant Zendesk en janvier 2026 est un cas d’école de vulnérabilité par conception. Elle rappelle que la sécurité ne réside pas seulement dans la protection contre les attaques externes, mais aussi dans la gestion des fonctionnalités internes. L’ouverture excessive des systèmes, même avec de bonnes intentions, peut créer des vecteurs d’attaque inattendus.
Pour les entreprises utilisant Zendesk ou des plateformes similaires, cet incident souligne l’importance d’une configuration sécurisée par défaut et d’une surveillance proactive. Il est crucial de revoir régulièrement les paramètres de sécurité, notamment ceux qui régissent la soumission de tickets par des utilisateurs externes.
Pour les utilisateurs finaux, la leçon est de rester vigilant. Même un email provenant d’une source légitime peut être le résultat d’un abus. En cas de doute, il est préférable de ne pas répondre, ne pas cliquer sur des liens (même s’ils semblent absents dans cette attaque) et de contacter l’entreprise via un canal officiel si une action est réellement nécessaire.
En 2026, alors que les plateformes de support cloud continuent de se généraliser, la sécurité de ces outils devient un enjeu critique, notamment face à la recrudescence des ransomwares et des attaques de la chaîne d’approvisionnement. La collaboration entre les fournisseurs de services comme Zendesk et leurs clients est essentielle pour identifier et corriger ces failles avant qu’elles ne soient exploitées à grande échelle. La vigilance et une configuration rigoureuse restent les meilleurs remparts contre ce type d’abus ingénieux.