Attaque Zendesk 2026 : Comment les systèmes de tickets sont détournés pour une vague massive de spam

Églantine Montclair

Une vague mondiale de spam, déclenchée dès le 18 janvier 2026, cible des milliers d’utilisateurs. Les victimes rapportent avoir reçu des centaines d’emails aux sujets étranges, parfois alarmants. Contrairement aux campagnes classiques, ces messages proviennent directement des systèmes de support de grandes entreprises comme Discord, Tinder ou Dropbox. L’origine du problème est une faille dans la configuration des plateformes Zendesk, transformant des outils légitimes en véritables canaux de spam.

Cette attaque repose sur un mécanisme simple mais efficace : des attaquants exploitent la possibilité de soumettre des tickets de support sans vérification d’identité. En saisissant des adresses email cibles, ils déclenchent l’envoi automatique de confirmations de ticket par Zendesk. Résultat : une cascade de messages légitimes, passant les filtres anti-spam et semant la confusion chez les destinataires. Bien que cette campagne semble être un canular massif plutôt qu’une tentative de phishing directe, elle soulève des questions cruciales sur la sécurité des plateformes SaaS et la gestion des accès non authentifiés.

Comprendre le mécanisme d’attaque par “relay spam”

Le cœur du problème réside dans une fonctionnalité de Zendesk conçue pour faciliter l’interaction client. Par défaut, de nombreuses instances Zendesk permettent à n’importe qui de soumettre un ticket de support sans créer de compte ou vérifier son adresse email. C’est ce que Zendesk qualifie de “relay spam”. Les attaquants ont simplement automatisé la création de tickets en boucle, utilisant des listes massives d’adresses email volées ou générées aléatoirement.

L’exploitation du flux de travail automatisé

Le processus est redoutablement simple :

  1. L’attaquant accède à la page de soumission de ticket d’une entreprise utilisant Zendesk.
  2. Il saisit une adresse email cible dans le champ dédié.
  3. Il remplit les champs sujet et message avec du contenu aléatoire ou provocateur.
  4. Zendesk génère et envoie automatiquement un email de confirmation de ticket à l’adresse saisie.

En répétant cette action des milliers de fois, l’attaquant sature la boîte mail des victimes. Comme les emails émanent de domaines légitimes (ex: support@discord.com), ils sont perçus comme authentiques et échappent souvent aux filtres de spam. Cette technique est d’autant plus efficace que les entreprises affectées, comme Discord, ont confirmé que leur système était conçu pour être ouvert afin de faciliter le support client sans barrière d’inscription.

Le volume et la nature des messages

La vague a débuté le 18 janvier 2026, avec des rapports sur les réseaux sociaux signalant une avalanche de messages. Les sujets des emails sont délibérément chaotiques pour provoquer une réaction. Voici quelques exemples réels documentés :

  • FREE DISCORD NITRO!!
  • TAKE DOWN ORDER NOW FROM CD Projekt
  • LEGAL NOTICE FROM ISRAEL FOR koei Tecmo
  • DONATION FOR State Of Tennessee CONFIRMED
  • Help Me!
  • 鶊坝鱎煅貃姄捪娂隌籝鎅熆媶鶯暘咭珩愷譌argentine恖 (caractères Unicode complexes)

Les entreprises ciblées sont variées, allant de services de jeux (Riot Games, CD Projekt) à des outils de productivité (Dropbox), en passant par des institutions gouvernementales (Tennessee Department of Labor). Cette diversité montre que l’attaquant a utilisé des listes d’entreprises connues pour maximiser l’impact et la confusion, dans un contexte où les fuite de données sont de plus en plus fréquentes

Impact et réactions des entreprises cibles

L’impact est principalement d’ordre opérationnel et de confiance, comme le montrent les récentes attaques ransomware Qilin Les équipes support des entreprises affectées ont été inondées de tickets inutiles, ce qui a ralenti leur capacité à répondre aux vraies demandes. Pour les utilisateurs, la réception de dizaines d’emails d’une entreprise de confiance est déconcertante et peut être perçue comme une faille de sécurité, même si le contenu n’est pas malveillant.

Réponses des entreprises touchées

Plusieurs entreprises ont rapidement communiqué pour rassurer leurs utilisateurs. Dropbox et 2K (via CD Projekt) ont envoyé des réponses aux tickets créés, expliquant la situation. Voici un extrait de la communication de 2K :

“You may have recently received an automated response or notification regarding a support ticket that you did not submit. We want to clarify why this might have happened and assure you there is no cause for concern. […] To remove barriers and enhance your experience, our system allows anyone to submit a support ticket, provide feedback, and report bugs without having to sign up for a dedicated support account and verify their email address. This open policy means that anyone can potentially submit a ticket using any email address.”

Cette réponse met en lumière le dilemme entre accessibilité du support et sécurité. Les entreprises cherchent à offrir un service client sans friction, mais cela crée une vulnérabilité exploitée dans cette attaque.

Zendesk, la cible principale

Zendesk a été contacté par BleepingComputer et a confirmé qu’il avait introduit de nouvelles fonctionnalités de sécurité pour contrer ce type d’abus. Le porte-parole a déclaré :

“We’ve introduced new safety features to address relay spam, including enhanced monitoring and limits designed to detect unusual activity and stop it more quickly. We want to assure everyone that we are actively taking steps - and continuously improving - to protect our platform and users.”

Il est important de noter que Zendesk avait déjà alerté ses clients sur cette faille dans un communiqué de décembre 2025, décrivant précisément le risque de “relay spam”. Cependant, la mise en œuvre des correctifs dépendait des administrateurs des instances Zendesk, ce qui explique pourquoi certaines entreprises sont restées vulnérables.

Recommandations de sécurité pour les administrateurs Zendesk

Pour éviter de subir de futures attaques similaires, les administrateurs de plateformes Zendesk doivent prendre des mesures proactives. Zendesk lui-même a publié des recommandations pour sécuriser les instances. Voici les actions prioritaires à mettre en œuvre.

1. Restreindre la soumission de tickets aux utilisateurs vérifiés

La mesure la plus efficace est de désactiver la soumission de tickets par des utilisateurs non authentifiés. Cela peut se faire en configurant les paramètres de sécurité de l’instance Zendesk.

  • Activer la vérification d’email : Exiger que toute personne soumettant un ticket vérifie son adresse email via un lien de confirmation.
  • Limiter l’accès aux portails publics : Si possible, restreindre l’accès au formulaire de ticket à des utilisateurs connectés uniquement.

2. Configurer des règles de filtrage et de limites

Zendesk permet de définir des règles pour automatiser la gestion des tickets entrants. Il est crucial de configurer des seuils pour détecter les activités anormales.

  • Limites de taux (Rate Limiting) : Imposer une limite sur le nombre de tickets pouvant être soumis depuis une même adresse IP ou un même domaine en un temps donné.
  • Filtrage par sujet et contenu : Créer des règles automatiques pour mettre en quarantaine ou supprimer les tickets dont le sujet correspond à des motifs connus d’abus (ex: “TAKE DOWN”, “LEGAL NOTICE”, caractères Unicode complexes).

3. Auditer et surveiller l’activité

Une surveillance active est essentielle pour identifier rapidement une vague de spam.

  • Mettre en place des alertes : Configurer des notifications pour un volume anormal de tickets ouvertes dans un court laps de temps.
  • Analyser les logs : Examiner régulièrement les logs d’accès et de soumission de tickets pour repérer des schémas d’attaque.

Tableau comparatif des mesures de prévention

MesureDescriptionEfficacité contre le relay spamComplexité d’implémentation
Vérification d’emailExige une confirmation via un lien envoyé à l’adresse saisie.ÉlevéeFaible
Limites de tauxBloque les soumissions excessives depuis une même source.ÉlevéeMoyenne
Filtrage par contenuBloque automatiquement les tickets avec sujets/mots-clés suspects.MoyenneMoyenne
Restreindre aux utilisateurs connectésSupprime complètement l’accès public au formulaire.Très élevéeFaible (mais peut impacter l’UX)

Étapes de mise en œuvre pour sécuriser votre instance Zendesk

Si vous gérez une instance Zendesk, voici un plan d’action concret pour vous protéger contre le relay spam. Ces étapes sont basées sur les recommandations de Zendesk et les meilleures pratiques de sécurité.

  1. Accédez aux paramètres de sécurité : Connectez-vous à votre panneau d’administration Zendesk et naviguez vers Paramètres > Sécurité.
  2. Activez la vérification d’email pour les tickets publics : Cochez l’option “Exiger la vérification de l’adresse email pour les soumissions de tickets”.
  3. Configurez les règles de workflow : Allez dans Paramètres > Règles de gestion des tickets > Règles. Créez une règle pour mettre en quarantaine tout ticket dont le sujet contient des mots-clés comme “TAKE DOWN”, “LEGAL NOTICE”, ou “FREE”.
  4. Implémentez des limites de taux : Utilisez les fonctions d’API de Zendesk ou un middleware (comme un pare-feu applicatif) pour imposer des limites sur les appels à votre endpoint de soumission de ticket.
  5. Formez vos équipes support : Informez vos agents du support de la possibilité de telles attaques et de la procédure à suivre (ignorer les tickets, les fermer en masse, ne pas répondre).
  6. Surveillez activement : Mettez en place un dashboard pour suivre le volume de tickets ouverts par heure. Une augmentation soudaine doit déclencher une enquête.

En suivant ces étapes, vous réduisez considérablement la surface d’attaque et protégez à la fois votre infrastructure et vos utilisateurs.

Conclusion : La sécurité par défaut comme impératif

L’attaque massive contre les systèmes Zendesk en janvier 2026 est un rappel brutal que la facilité d’usage peut compromettre la sécurité. Les entreprises ont privilégié un accès ouvert pour améliorer l’expérience client, mais cette approche a été exploitée à grande échelle. Bien que cette vague de spam n’ait pas été directement financière ou destructrice, elle a perturbé des opérations et érodé la confiance.

La leçon principale pour les organisations en 2026 est claire, notamment face à la recrudescence des ransomware et attaques de la chaîne d’approvisionnement : la sécurité doit être intégrée par défaut dans les configurations des services SaaS. Les administrateurs ne peuvent plus se reposer uniquement sur les fournisseurs de plateformes ; une vigilance active et une configuration rigoureuse sont indispensables. Les recommandations de Zendesk, bien que tardives, offrent un chemin vers une meilleure protection. En appliquant ces mesures, vous ne vous protégez pas seulement contre le relay spam, mais vous renforcez également la résilience globale de votre environnement de support client.

La prochaine étape pour toute organisation utilisant Zendesk est d’auditer immédiatement ses paramètres de sécurité et d’appliquer les restrictions nécessaires. La prévention reste le meilleur rempart contre ce type d’abus, et dans un paysage où les attaquants exploitent chaque faille, l’inaction est un risque que personne ne peut se permettre.