Il y a des matins qui commencent comme les autres. Et il y a CE matin. Celui où, en vous connectant à votre MCC Google Ads, un message glacial s'affiche : "Aucun compte Google Ads n'est associé à vos identifiants".
Vous essayez encore. Rien. C'est le début du cauchemar pour n'importe quel dirigeant d'agence SEA. Votre centre de commandement, celui qui relie tous vos clients, vient de vous claquer la porte au nez.
Nous l'avons vécu. Et nous avons décidé de vous raconter, sans filtre, comment nous avons déjoué une attaque qui aurait pu être dévastatrice. Si vous gérez une agence, lisez ceci. La question n'est pas "si" ça peut vous arriver, mais "quand".
L'anatomie d'une attaque silencieuse
Tout a commencé par le maillon faible de toute organisation : une boîte mail. L'attaque était un cas d'école de phishing. Nous avons reçu un e-mail d'un "faux" prospect nous demandant d'auditer son compte. S'en est suivie une invitation frauduleuse à rejoindre un compte Google Ads, conçue pour voler nos identifiants de connexion.
Une fois connecté à notre MCC, le plan du pirate était d'une efficacité redoutable :
L'Éjection : Il a modifié les autorisations et a supprimé un par un tous nos accès administrateur. Nous étions devenus des étrangers à notre propre outil.
Le Silence Radio de Google : Et c'est le point le plus critique. Nous n'avons reçu AUCUNE notification de Google. Pas un seul e-mail pour nous dire "L'utilisateur X a été supprimé" ou "Les droits d'administration ont changé". Rien. Un silence assourdissant qui a permis au pirate d'agir sans être détecté.
Le piège était parfait. Nous étions dehors, impuissants, pendant qu'un inconnu avait les clés de tous nos clients et s'apprêtait à faire flamber leurs cartes bancaires.
La riposte : Notre plan de bataille en 60 minutes
Pas le temps de paniquer. Chaque minute qui passait représentait des milliers d'euros de dépenses potentielles. Notre objectif était clair : couper l'accès au pirate, compte par compte, le plus vite possible.
Phase 1 : Le téléphone, votre meilleure arme
Oubliez les e-mails. En situation de crise, ils sont trop lents. Nous avons saisi nos téléphones et appelé TOUS nos clients, sans exception. Le message était direct : "Bonjour, nous subissons une faille de sécurité. Votre compte est exposé. Nous avons besoin de votre aide pour le sécuriser MAINTENANT. Voici la marche à suivre..."
Notre transparence et l'urgence dans notre voix ont créé un électrochoc. Nos clients ont compris que nous étions déjà en train de résoudre le problème avec eux.
Phase 2 : L'ordre de dissociation massive
Notre instruction était simple : connectez-vous à votre compte Google Ads, allez dans "Accès et sécurité", trouvez la ligne de notre MCC et cliquez sur "Supprimer l'accès".
Chaque client qui effectuait la manipulation fermait une porte au nez du pirate.
Phase 3 : Le "Cheval de Troie" inversé
La vraie angoisse concernait les comptes où nous étions les seuls maîtres à bord. Comment les protéger sans accès au MCC ?
Heureusement, nous avions conservé notre accès à tous les profils de paiement. C'était notre porte dérobée d'urgence. Pour ces comptes, nous avons déployé une tactique de la dernière chance : nous avons ajouté une de nos cartes virtuelles, plafonnée à 5€, comme moyen de paiement principal.
Le pirate pouvait bien essayer de lancer une campagne à 20 000€, la transaction aurait été refusée net, bloquant toute diffusion. C'était notre "poison pill", notre manière de saboter la machine de l'intérieur.
Bilan : Victoire totale, mais des leçons gravées au fer rouge
Le résultat ? Zéro euro de perdu pour nos clients.
L'attaque a été un échec total pour le pirate. Pour nous, ce fut une victoire stressante mais incroyablement formatrice. Nous avons prouvé à nos clients que même dans la pire des tempêtes, nous tenions la barre. Leur confiance n'a pas été brisée, elle a été renforcée.
Cette expérience nous a surtout laissé des leçons que nous voulons partager avec vous.
Notre boîte à outils de survie pour votre agence
Considérez ceci comme une checklist à mettre en place dès demain :
Le 2FA est non-négociable. Sur TOUS les comptes emails de votre agence. Sans exception. C'est votre plus importante ligne de défense.
Créez un "Admin de secours". Ayez un compte Google administrateur, non lié à un employé, ultra-sécurisé, qui a un accès direct à vos comptes clients clés. C'est votre passe-partout en cas d'urgence.
Préparez une "Carte Fusible". Ayez une ou deux cartes virtuelles à très faible plafond (5-10€), prêtes à être utilisées pour la manœuvre que nous avons décrite.
Faites des audits d'accès trimestriels. Vérifiez qui a accès à quoi. Un ancien collaborateur ou partenaire avec un accès actif est une faille de sécurité béante.
Cette attaque aurait pu nous couler. Au lieu de cela, elle nous a blindés. Elle nous a forcés à revoir chaque aspect de notre sécurité et à construire des protocoles encore plus robustes.
Nous espérons que notre histoire vous servira de catalyseur. N'attendez pas de voir ce message d'erreur pour agir. La meilleure défense se prépare quand tout va bien. Restez vigilants.
