Vague de Spam Mondiale via Zendesk : Comment les Tickets de Support Sont Détournés pour Inonder les Boîtes Mail

Théophane Villedieu

Une vague de spam mondiale sans précédent a ciblé des millions d’utilisateurs en janvier 2026, exploitant des failles dans les systèmes de gestion de tickets Zendesk. Selon les rapports, des centaines de milliers d’emails aux sujets alarmants et chaotiques ont inondé les boîtes de réception, provenant directement des plateformes de support de grandes entreprises comme Discord, Dropbox ou 2K. Cette campagne, qui n’a pas pour but de voler des données mais de semer la confusion, met en lumière une vulnérabilité critique souvent négligée : les systèmes de support client ouverts.

L’exploitation d’une fonctionnalité légitime pour le spam de masse

Les attaquants ont détourné une fonctionnalité standard de Zendesk : la capacité pour n’importe qui de soumettre un ticket de support sans vérification préalable de l’adresse email. En créant des tickets de support fictifs avec des adresses email cibles, les systèmes Zendesk automatiques génèrent des emails de confirmation envoyés à ces destinataires. L’attaquant n’a qu’à itérer sur une liste massive d’adresses pour transformer un service d’assistance légitime en un puissant moteur de spam.

Les entreprises touchées sont nombreuses et variées : Discord, Tinder, Riot Games, Dropbox, CD Projekt, Maya Mobile, NordVPN, le Département du Travail du Tennessee, Lightspeed, CTL, Kahoot, Headspace, et Lime ont tous été identifiés comme sources de ces emails.

Cette attaque, qui a débuté le 18 janvier 2026, exploite le fait que les emails émis par ces plateformes sont légitimes. Ils passent donc en toute logique les filtres anti-spam conventionnels, qui sont calibrés pour bloquer les communications provenant de serveurs inconnus ou mal réputés. Le résultat est une intrusion d’une efficacité redoutable dans la vie numérique des cibles.

La nature trompeuse des messages : entre confusion et alarme

Contrairement aux campagnes de phishing classiques, ces emails ne contiennent généralement pas de liens malveillants ou de pièces jointes infectées. Leur objectif est avant tout perturbateur. Les sujets sont délibérément absurdes, alarmants ou incompréhensibles, conçus pour attirer l’attention et générer de l’inquiétude.

Exemples de sujets rapportés :

  • FREE DISCORD NITRO!! (Promotion fictive)
  • TAKE DOWN ORDER NOW FROM CD Projekt (Ordre de fermeture fictif)
  • LEGAL NOTICE FROM ISRAEL FOR koei Tecmo (Avis légal fictif)
  • DONATION FOR State Of Tennessee CONFIRMED (Confirmation de don)
  • IMPORTANT LAW ENFORCEMENT NOTIFICATION FROM DISCORD FROM Peru (Notification policière)
  • Help Me! (Appel à l’aide)
  • 鶊坝鱎煅貃姄捪娂隌籝鎅熆媶鶯暘咭珩愷譌argentine恖 (Chaîne de caractères Unicode aléatoire)

Les attaquants utilisent également des polices Unicode pour styliser les textes, ajoutant une couche supplémentaire de bizarre et rendant la détection par des règles simples plus difficile. Cette campagne relève moins du cybercrime au sens classique que du trolling à grande échelle, visant à déstabiliser et à polluer les canaux de communication.

Pourquoi les filtres anti-spam sont impuissants face à cette menace

Les systèmes de filtrage traditionnels s’appuient sur des réputations d’expéditeurs et la détection de motifs connus (liens, pièces jointes, langage suspect). Ici, l’expéditeur est une entreprise de premier plan dont la réputation est excellente. L’email est envoyé depuis une infrastructure légitime (les serveurs Zendesk de l’entreprise cible).

Mécanisme de contournement :

  1. L’attaquant identifie une entreprise utilisant Zendesk avec des paramètres de sécurité laxistes.
  2. Il soumet un ticket de support via le formulaire public, en saisissant une adresse email cible.
  3. Zendesk envoie automatiquement un email de confirmation “Ticket #12345 reçu” à l’adresse saisie.
  4. L’attaquant répète l’opération sur des milliers d’adresses.

Les entreprises touchées, comme 2K et Dropbox, ont rapidement réagi en publiant des réponses aux tickets pour rassurer les utilisateurs. 2K a expliqué que leur système est ouvert par design pour faciliter le support, mais que “nous n’agissons sur aucun compte ou ne traitons aucune demande sensible sans instruction authentifiée et directe du titulaire du compte”.

L’impact sur la confiance et la sécurité des organisations

Même si cette vague ne vise pas directement le vol d’identifiants, ses conséquences sont réelles. Elle génère une charge énorme pour les équipes de support, qui doivent gérer des centaines de tickets frauduleux et répondre aux inquiétudes des clients légitimes. Surtout, elle érode la confiance : un utilisateur qui reçoit une notification légitime de Discord ou Dropbox peut craindre que son compte ne soit compromis.

Statistique clé : Selon les rapports de BleepingComputer, la vague a touché des victimes à travers le monde, avec des pics d’envoi massif débutant le 18 janvier 2026. L’ampleur est telle que les réseaux sociaux ont été inondés de témoignages d’utilisateurs déconcertés.

Les mesures correctives et la réponse de Zendesk

Face à cette crise, Zendesk a publié une déclaration officielle, reconnaissant le problème et annonçant des correctifs. “Nous avons introduit de nouvelles fonctionnalités de sécurité pour lutter contre le relay spam, incluant une surveillance renforcée et des limites conçues pour détecter les activités inhabituelles et les arrêter plus rapidement”, a indiqué la société.

Zendesk avait d’ailleurs déjà émis un avertissement sur ce type d’abus dans un communiqué de décembre 2025, décrivant la technique comme du “relay spam”. La solution technique prônée est claire : restreindre la création de tickets aux seuls utilisateurs vérifiés et supprimer les espaces réservés qui permettent d’utiliser n’importe quelle adresse email ou sujet de ticket.

Tableau comparatif : Approches de prévention

ApprocheAvantagesInconvénientsImpact sur l’expérience client
Porte Ouverte (Actuel pour beaucoup)Accès ultra-rapide, pas de friction.Vulnérable au spam et au détournement. Charge de support énorme.Confusion, perte de confiance.
Vérification par EmailBloque la majorité des abus automatisés.Ajoute une étape, peut décourager les vrais clients.Légère friction, mais sécurité accrue.
Authentification Client (SSO)Sécurité maximale, traçabilité parfaite.Nécessite un compte existant.Barrière d’entrée pour les nouveaux clients.
Limites de Taux & SurveillanceDétection proactive des anomalies.Peut générer des faux positifs.Impact minimal si bien configuré.

Mise en œuvre : Étapes actionnables pour les entreprises

Pour les organisations utilisant Zendesk ou des plateformes similaires, la vague de janvier 2026 est un signal d’alarme. Voici une checklist pour renforcer la sécurité des canaux de support.

  1. Auditer les paramètres Zendesk : Vérifiez immédiatement les réglages de création de tickets. Assurez-vous que l’option “Allow anyone to submit a ticket” est désactivée si possible. Activez la vérification par email (confirmation via lien) pour les nouveaux soumetteurs.
  2. Implémenter des limites de taux (Rate Limiting) : Configurez des règles pour limiter le nombre de tickets pouvant être créés depuis une même adresse IP ou un même domaine en un court laps de temps. C’est une mesure essentielle contre les attaques par force brute.
  3. Mettre en place une surveillance active : Utilisez les outils de monitoring de Zendesk pour identifier des pics anormaux dans la création de tickets ou dans les sujets récurrents. Des alertes doivent être configurées pour les activités suspectes.
  4. Sensibiliser les équipes support : Informez vos agents que des tickets frauduleux peuvent arriver. Établissez un protocole pour identifier rapidement et fermer ces tickets sans les traiter comme des requêtes légitimes.
  5. Communiquer avec vos clients : En cas d’attaque, comme l’ont fait Dropbox et 2K, publiez rapidement une communication claire expliquant la situation, rassurant sur l’absence de risque pour leurs données, et indiquant comment ignorer ces emails.

Leçon clé : La sécurité ne se limite pas aux pare-feux et aux antivirus. Les services métiers, comme le support client, doivent être configurés avec une posture de sécurité de base, même s’ils sont conçus pour être ouverts.

Conclusion : Une menace qui révèle un risque systémique

La vague de spam via Zendesk de janvier 2026 n’est pas une attaque sophistiquée, mais elle est emblématique d’une faille systémique dans l’écosystème numérique : la confiance excessive dans les automatisations. En détournant un processus légitime, les attaquants ont démontré qu’une simple fonctionnalité mal configurée peut devenir un vecteur de perturbation mondiale.

Pour les entreprises, le message est limpide : il est impératif de revoir la configuration de tous les services exposés au public, y compris les outils de support. La mise en œuvre de mesures de sécurité de base – vérification, limitation de taux, surveillance – peut empêcher la prochaine vague de spam et protéger la réputation de l’entreprise. Pour les utilisateurs, la vigilance reste de mise : tout email inattendu, même d’une source légitime, doit être traité avec prudence et, dans ce cas, simplement ignoré. La sécurité est une chaîne, et chaque maillon, aussi anodin soit-il, doit être renforcé.