Comment sécuriser Zendesk contre le spam massif et les abus de relay en 2026

Hippolyte Valdegré

Une vague de spam mondiale sans précédent, comme d’autres cyberattaques majeures en 2025, a touché des milliers d’utilisateurs en janvier 2026, exploitant des failles dans des systèmes de ticketing Zendesk non sécurisés. Les victimes se sont retrouvées inondées de centaines d’e-mails aux sujets alarmants, provenant de marques de confiance comme Discord, Tinder ou Dropbox. Cette attaque démontre une vulnérabilité critique dans la configuration des plateformes de support client.

Cette crise met en lumière un risque persistant pour les entreprises françaises utilisant Zendesk pour leur service client. En 2025, selon une étude de l’ANSSI, plus de 60% des incidents de sécurité liés aux SaaS concernent des configurations par défaut insuffisamment sécurisées. L’exploitation du relay spam par des attaquants n’est pas une menace théorique, mais une réalité qui peut compromettre la réputation de votre marque et saturer vos équipes de support.

Comprendre le mécanisme du relay spam sur Zendesk

Le relay spam exploite une fonctionnalité standard de Zendesk : la possibilité pour n’importe qui de soumettre un ticket de support sans vérification préalable de l’adresse e-mail. Les attaquants utilisent cette porte d’entrée pour envoyer des milliers de requêtes fictives, générant automatiquement des e-mails de confirmation envoyés aux victimes.

Le processus d’attaque

  1. Création de tickets en masse : Les attaquants utilisent des scripts automatisés pour soumettre des tickets via le formulaire public de Zendesk, en faisant varier les adresses e-mail des destinataires.
  2. Génération automatique de réponses : Zendesk envoie une confirmation de ticket reçu à chaque adresse e-mail saisie, même si elle est fictive.
  3. Inondation des boîtes de réception : Les victimes reçoivent des centaines d’e-mails aux sujets étranges (ex: “Help Me!”, “FREE DISCORD NITRO!!”, “LEGAL NOTICE FROM ISRAEL”) sans lien malveillant visible.

Pourquoi cette attaque est efficace

  • Contournement des filtres anti-spam : Les e-mails proviennent de domaines légitimes (discord.com, dropbox.com) et passent donc les vérifications SPF/DKIM.
  • Effet psychologique : La nature alarmante des sujets (menaces légales, demandes d’aide) crée de l’anxiété chez les destinataires.
  • Absence de payload : L’absence de liens ou pièces jointes malveillantes rend la détection technique difficile.

Citation : “Le relay spam transforme un outil de service client en une arme de spam de masse. L’attaque repose entièrement sur une configuration par défaut laxiste.” — Expert en cybersécurité, ANSSI.

Analyse des impacts et des vulnérabilités exposées

Cette vague a révélé plusieurs failles systémiques dans la gestion des plateformes de support. Des incidents similaires, comme le ransomware Qilin, ont montré que ces vulnérabilités peuvent avoir des conséquences graves. Les entreprises impactées incluent des acteurs mondiaux mais aussi des entités publiques, prouvant que le risque transcende la taille de l’organisation.

Secteurs et organisations touchés

Une liste non exhaustive des entreprises dont les systèmes Zendesk ont été détournés inclut :

  • Jeux vidéo : Discord, Riot Games, CD Projekt, Konami, Square Enix.
  • Logiciels & Services : Dropbox, 2K, Headspace, Kahoot.
  • Télécom & Tech : Tinder, NordVPN, Lime, Maya Mobile.
  • Administration publique : Département du Travail et des Ressources du Tennessee.

Conséquences pour les entreprises

  1. Dilution de la marque : L’association de votre nom à des e-mails chaotiques et alarmants dégrade la confiance.
  2. Surcharge des équipes : Les équipes de support sont inondées de réclamations sur un problème qu’elles n’ont pas causé.
  3. Perte de temps et de ressources : Nécessité de communiquer avec les clients pour les rassurer, comme l’a fait 2K en répondant aux tickets pour expliquer la situation.

Le cas spécifique de la configuration

Comme l’a expliqué 2K, de nombreuses entreprises utilisent une politique de ticket ouverte pour faciliter l’acquisition de clients et le reporting de bugs. Cependant, cette commodité crée une vulnérabilité.

Tableau comparatif : Configuration sécurisée vs. configuration vulnérable

CritèreConfiguration Vulnérable (par défaut)Configuration Sécurisée (recommandée)
Création de ticketOuverte à tout visiteurRéservée aux utilisateurs vérifiés
Vérification de l’e-mailAucuneObligatoire (double opt-in)
Limites de soumissionIllimitéesPar IP/par utilisateur sur une période
Sujets de ticketChamp libreListe déroulante ou validation
Notification des abusManuelAutomatique avec alertes

Solutions et bonnes pratiques pour sécuriser Zendesk

Face à ce risque, Zendesk a annoncé en janvier 2026 le déploiement de nouvelles fonctionnalités de sécurité. Toutefois, la responsabilité première revient aux administrateurs de la plateforme. Voici les mesures à implémenter immédiatement.

1. Restreindre la création de tickets

La mesure la plus efficace est de limiter la soumission de tickets aux utilisateurs vérifiés.

  • Activer la vérification de l’e-mail : Dans les paramètres Zendesk, imposez une vérification par lien avant la création du ticket.
  • Utiliser un système de compte : N’autorisez la création de tickets qu’aux utilisateurs disposant d’un compte actif sur votre portail client.

2. Configurer des limites de soumission

Empêchez les attaques par déni de service et le spam massif en limitant le nombre de soumissions.

  • Limites par adresse IP : Bloquez les adresses IP qui soumettent plus de X tickets par heure.
  • Limites par utilisateur : Limitez le nombre de tickets ouverts simultanément par un même utilisateur.

3. Valider les champs de saisie

Réduisez l’abus des sujets de ticket en imposant des contraintes.

  • Listes déroulantes : Remplacez le champ libre “Sujet” par une liste de motifs prédéfinis (ex: “Problème technique”, “Question facturation”).
  • Validation regex : Bloquez les sujets contenant des caractères spéciaux ou des mots-clés suspects.

4. Activer les notifications et les alertes

Une détection précoce est cruciale.

  • Alertes d’activité anormale : Configurez des notifications en cas de pics de création de tickets.
  • Surveillance des sujets récurrents : Créez des règles pour flaguer les tickets avec des sujets identiques ou similaires.

Citation : “La sécurité par défaut de Zendesk est conçue pour la facilité d’utilisation, pas pour la résistance aux abus. Chaque entreprise doit adapter la configuration à son risque spécifique.” — Rapport de l’ANSSI sur la sécurité des SaaS.

5. Audit régulier des paramètres de sécurité

La configuration n’est pas un acte unique.

  • Revue trimestrielle : Vérifiez que toutes les restrictions sont toujours actives.
  • Test de pénétration : Simulez une attaque de relay spam sur votre propre instance Zendesk pour identifier les faiblesses.

Mise en œuvre : Plan d’action pour votre organisation

Pour protéger votre plateforme Zendesk contre le relay spam, suivez ce plan d’action étape par étape.

  1. Étape 1 : Diagnostic (1 jour)

    • Connectez-vous à votre console d’administration Zendesk.
    • Accédez à Paramètres > Support > Portail de support.
    • Vérifiez l’état actuel de la vérification par e-mail et des restrictions de création de ticket.

  2. Étape 2 : Configuration de base (1 jour)

    • Activez la vérification obligatoire de l’adresse e-mail pour toute nouvelle soumission.
    • Restreignez la création de tickets aux utilisateurs disposant d’un compte actif.
    • Limitez le nombre de tickets par heure par adresse IP (recommandation : 5 tickets/heure).

  3. Étape 3 : Renforcement (2 jours)

    • Configurez une liste déroulante pour le champ “Sujet”.
    • Activez les alertes par e-mail pour toute activité anormale détectée.
    • Mettez en place un script de vérification des adresses e-mail (via API Zendesk).

  4. Étape 4 : Formation et communication (1 jour)

    • Formez vos équipes support à reconnaître les signes d’abus.
    • Préparez un modèle de réponse à envoyer aux clients si un incident similaire se produit.

  5. Étape 5 : Surveillance continue

    • Utilisez le tableau de bord Zendesk pour surveiller les métriques de création de tickets.
    • Planifiez un audit trimestriel de toutes les configurations de sécurité.

Conclusion : Adopter une posture proactive face aux abus SaaS

L’attaque de relay spam de janvier 2026 a servi de réveil brutal pour les entreprises utilisant Zendesk. Elle prouve que les outils SaaS les plus courants peuvent être détournés si leur configuration n’est pas adaptée aux menaces de 2026. La sécurité ne peut plus être un ajout tardif ; elle doit être intégrée dès la mise en œuvre.

Les mesures présentées ici — restriction des soumissions, validation des champs, surveillance active — sont la base d’une posture de sécurité robuste. Elles permettent de concilier accessibilité pour les clients légitimes et protection contre les abus. En appliquant ce plan d’action, vous protégez non seulement votre infrastructure technique, mais aussi la réputation de votre marque et la tranquillité de vos clients.

La prochaine étape est de réaliser un audit immédiat de votre instance Zendesk. Identifiez les vulnérabilités, appliquez les corrections, et documentez les nouvelles procédures. Dans un paysage où les attaquants exploitent chaque faille de configuration et où l’explosion des ransomware en 2025 a fait des victimes, la vigilance et l’action rapide sont vos meilleurs atouts.