Attaque massive par Zendesk : Comment les systèmes de tickets sont détournés pour le spam en 2026

Apollinaire Monteclair

Une vague de spam mondiale a submergé les boîtes mail fin janvier 2026, avec des sujets alarmants et des caractères Unicode illisibles. Cette attaque s’inscrit dans une tendance plus large d’augmentation des cybermenaces, avec des attaques ransomware en hausse de 50% en 2025 selon les dernières analyses. Ce flot d’emails ne provient pas de serveurs malveillants anonymes, mais directement des systèmes de support de grandes entreprises utilisant Zendesk. Si votre boîte de réception a été inondée de notifications de tickets que vous n’avez jamais ouverts, vous êtes concerné par une faille d’abus de confiance.

Le 21 janvier 2026, Lawrence Abrams de BleepingComputer rapportait que des acteurs malveillants exploitaient massivement les instances Zendesk non sécurisées. Le principe est d’une simplicité déconcertante : en créant des milliers de faux tickets de support sur des plateformes ouvertes, les attaquants forcent l’envoi automatique de confirmations par email aux victimes. Cette technique, que Zendesk qualifie de “relay spam”, transforme des outils légitimes de gestion client en armes de harcèlement numérique.

L’exploitation d’une fonctionnalité de confiance

La racine du problème réside dans une fonctionnalité par défaut conçue pour faciliter l’accès au support. Zendesk permet aux entreprises d’accepter des tickets de n’importe quel utilisateur, sans vérification préalable de l’adresse email ou création de compte. L’objectif est louable : réduire les frictions pour les clients qui ont besoin d’aide urgente. Toutefois, en période d’attaque, cette bienveillance se retourne contre l’écosystème.

Le mécanisme de l’attaque par déni de service sur les boîtes mail

Le processus d’attaque suit une logique mécanique et implacable :

  1. Identification des cibles : Les attaquants rassemblent des listes massives d’adresses email (scraping, fuites de données comme celle d’Asahi touchant 19 millions de personnes).
  2. Injection de tickets : Via des scripts automatisés, ils soumettent des demandes de support sur les portails Zendesk de cibles variées.
  3. Génération de trafic : Le système Zendesk, pensant recevoir une requête légitime, génère une réponse automatique.
  4. Inondation de la victime : L’email de confirmation est envoyé à l’adresse saisie par l’attaquant (la victime).

Cette méthode est redoutable car elle utilise la réputation des émetteurs. Les emails proviennent de domaines authentifiés comme discord.zendesk.com ou support.riotgames.com. Les filtres anti-spam classiques, qui vérifient les SPF, DKIM et DMARC, voient passer ces messages comme légitimes. Il n’y a pas d’arnaque bancaire directe, mais une perturbation majeure de la productivité.

Une escalade vers le harcèlement psychologique

Ce qui distingue cette campagne de 2026 des vagues précédentes, c’est le contenu des sujets. Loin de la publicité pour des produits pharmaceutiques, les attaquants jouent sur la peur et la confusion. Voici des exemples réels collectés durant l’incident :

  • Menaces juridiques : “TAKE DOWN ORDER NOW FROM CD Projekt” ou “LEGAL NOTICE FROM ISRAEL”.
  • Urgences humanitaires : “Help Me!” ou “IMPORTANT LAW ENFORCEMENT NOTIFICATION”.
  • Arnaques financières déguisées : “DONATION FOR State Of Tennessee CONFIRMED”.
  • Caractères spéciaux : Des chaînes de caractères asiatiques ou des glyphes inconnus (ex: “鶊坝鱎煅貃姄捪娂隌籝鎅熆媶鶯暘咭珩愷譌argentine恖”).

L’objectif semble être le chaos et le harcèlement (trolling) plutôt que le vol direct, mais l’impact sur la confiance des utilisateurs est sévère. Comme le soulignait 2K dans sa réponse aux victimes : “You may have recently received an automated response […] that you did not submit. We want to assure you there is no cause for concern”. Cette réassurance est nécessaire pour éviter la panique, mais elle arrive souvent trop tard pour les utilisateurs qui ont déjà signalé les emails comme phishing.

Les entreprises touchées et l’ampleur du dégât

La liste des sociétés impactées est impressionnante, touchant des secteurs variés allant du jeu vidéo à la cybersécurité, en passant par l’administration publique. Ces incidents s’inscrivent dans un contexte plus large d’attaques de la chaîne d’approvisionnement qui ont connu une croissance significative en 2025. L’attaque n’a pas de discrimination géographique, frappant aussi bien des entreprises américaines qu’asiatiques ou européennes.

Les victimes notables de la vague

Les investigations menées par les chercheurs en sécurité ont identifié des instances Zendesk compromises appartenant à :

  • Jeux vidéo : Discord, Riot Games, CD Projekt (2K), Konami Digital Entertainment.
  • Services technologiques : Dropbox, NordVPN, Lime, Lightspeed, Kahoot, Headspace.
  • Administration publique : Tennessee Department of Labor, Tennessee Department of Revenue.
  • Commerce et mobile : Tinder, Maya Mobile.

Ces entreprises ont rapidement communiqué pour expliquer la situation. Le cas de Discord est emblématique : des utilisateurs ont reçu des promesses de “Discord Nitro gratuit”, une offre classique d’escroquerie, mais qui cette fois provenait d’une adresse officielle. La confusion est totale pour l’utilisateur final qui ne sait plus distinguer le vrai du faux.

Pourquoi les filtres anti-spam échouent-ils ?

Les systèmes de sécurité reposent souvent sur la réputation de l’expéditeur. Un email provenant de dropbox.com est intrinsèquement considéré comme sûr. De plus, ces emails ne contiennent généralement pas de liens malveillants ou de pièces jointes virales. Ils sont vides de contenu dangereux, ce qui les rend techniquement “propres” aux yeux des scanners antivirus. C’est la social engineering pure : l’attaquant manipule l’environnement pour forcer une réaction émotionnelle ou administrative chez la victime.

Les solutions et recommandations de sécurité

Face à cette menace, la responsabilité est partagée entre l’éditeur de logiciel (Zendesk) et ses clients (les entreprises). Zendesk a réagi en déployant des correctifs d’urgence, mais des mesures préventives existent pour les administrateurs.

Les mesures prises par Zendesk

Dès le 21 janvier 2026, Zendesk a communiqué sur les actions entreprises pour endiguer le phénomène de “relay spam”. Leurs ingénieurs ont mis en place :

  • Surveillance renforcée : Détection d’activité anormale (création massive de tickets).
  • Limites de débit (Rate limiting) : Restrictions sur le nombre de requêtes acceptées par adresse IP ou par plage d’adresses.
  • Filtrage intelligent : Analyse sémantique des sujets de tickets pour bloquer les mots-clés suspects (ex: “Take Down”, “Law Enforcement”).

Cependant, la sécurité par l’éditeur ne suffit pas toujours. Les entreprises doivent prendre le contrôle de leurs propres portails.

Configuration recommandée pour les administrateurs

Pour éviter que leur instance ne serve de relais de spam (et ne nuise à leur réputation d’expéditeur), les administrateurs Zendesk doivent durcir la configuration. Voici les étapes critiques à appliquer :

  1. Restriction de la création de tickets :

    • Action : Ne permettre la création de tickets qu’aux utilisateurs vérifiés ou inscrits.
    • Impact : Bloque les attaquants anonymes.

  2. Vérification des adresses email (Email Verification) :

    • Action : Activer l’option qui force la validation de l’adresse email avant l’envoi de toute notification.
    • Impact : Empêche l’envoi automatique vers des adresses non consentantes.

  3. Nettoyage des formulaires :

    • Action : Supprimer les placeholders qui permettent d’entrer n’importe quelle adresse email ou sujet libre.
    • Impact : Réduit la surface d’attaque.

  4. Authentification des demandeurs :

    • Action : Exiger une authentification via SSO (Single Sign-On) ou un compte existant pour soumettre un ticket.
    • Impact : Garantit que l’émetteur est un client légitime.

Note de sécurité : Selon les recommandations de l’ANSSI et des standards ISO 27001, la validation de l’identité de la source est un principe fondamental de la sécurité des données. Laisser un formulaire ouvert sans vérification va à l’encontre de ces principes.

Mise en œuvre : Checklist de réponse à une vague de spam Zendesk

Si vous êtes responsable d’une instance Zendesk ou si vos utilisateurs subissent cette attaque, suivez cette procédure immédiate pour limiter les dégâts et rassurer vos clients.

Étape 1 : Analyse et confinement

  • Vérifiez les logs : Consultez le journal des tickets créés sur la période critique (à partir du 18 janvier 2026). Identifiez les adresses IP sources et le volume de tickets.
  • Identifiez le vecteur : Est-ce que le spam vient de votre instance ou est-ce que vos utilisateurs sont simplement des victimes recevant des spams d’autres entreprises ?

Étape 2 : Durcissement de la configuration

  • Activez la vérification email : Allez dans Admin > Channels > Email et assurez-vous que la vérification est activée.
  • Modifiez les règles de création de tickets : Dans Admin > Tickets > Settings, restreignez la création aux utilisateurs connus.
  • Créez des règles de traitement automatique (Triggers) :
    • Si le sujet contient des mots-clés suspects (ex: “Take Down”, “Help Me”, caractères Unicode) -> Fermer le ticket immédiatement sans notification.

Étape 3 : Communication de crise

  • Mettez à jour votre page de statut : Informez vos utilisateurs d’une “campagne de spam non sollicitée”.
  • Envoyez une notification claire : Utilisez votre canal de communication officiel (blog, Twitter/X) pour expliquer que ces emails sont des erreurs système et qu’aucune action de leur part n’est requise.
  • Exemple de message : “Si vous avez reçu une confirmation de ticket Zendesk pour une demande que vous n’avez pas faite, ignorez-la. Vos données sont sécurisées, il s’agit d’une tentative de harcèlement externe.”.

Étape 4 : Suivi et nettoyage

  • Supprimez les tickets fantômes : Utilisez l’API Zendesk pour purger les tickets créés par les attaquants afin de nettoyer votre base de données.
  • Surveillez la réputation de vos domaines d’envoi : Vérifiez auprès de votre équipe IT ou de votre fournisseur d’email que vos domaines n’ont pas été placés sur des listes noires (RBL) à cause de ce trafic.

Conclusion : Vers une sécurité par défaut (Secure by Design)

Cette vague de spam Zendesk de janvier 2026 met en lumière un problème récurrent dans le développement logiciel : le compromis entre facilité d’utilisation et sécurité. Tant que les outils professionnels privilégieront l’accessibilité au détriment de la vérification stricte, de telles failles d’abus persisteront.

Pour les entreprises françaises et internationales, le message est clair : l’automatisation doit être contrôlée. Utiliser des solutions comme Zendesk reste une référence pour la gestion de la relation client, mais elles nécessitent une configuration rigoureuse. En 2026, la sécurité ne peut plus être une option ou un paramètre avancé ; elle doit être intégrée dès la première configuration de l’instance.

Si vous gérez une plateforme de support, considérez cette attaque comme un test de résilience. Appliquez les correctifs immédiats, auditez vos flux de communication et assurez-vous que votre confiance dans les outils automatisés n’ouvre pas la porte au chaos numérique.