Sommaire
Des gestionnaires de comptes Google Ads voient leur compte administrateur (MCC) détourné, malgré l’authentification à deux facteurs. Des campagnes frauduleuses se lancent, les budgets partent en fumée et la réponse reste lente. Barry Schwartz (Search Engine Roundtable) rassemble plusieurs témoignages qui décrivent un risque désormais difficile à ignorer.
Un MCC détourné en pleine nuit, malgré le 2FA
Dans son article, Barry Schwartz rapporte le cas de Craig Skalko, dont l’agence gère de nombreux comptes via un MCC Google Ads. Vers 0h30, son MCC principal se retrouve pris de force :
- impossibilité pour lui et son équipe d’accéder au compte,
- arrivée d’un administrateur inconnu,
- ce profil relie ensuite son propre MCC à plusieurs sous-comptes clients.
Craig précise qu’il utilise l’authentification à deux facteurs. Il ne comprend pas par quel vecteur l’attaque a réussi. Le scénario n’est pas isolé : d’autres témoignages similaires circulent depuis un an, avec la même constante déclarée : 2FA actif, mais compte compromis ou MCC « pris en otage ».
La piste qui revient le plus souvent reste celle du phishing ciblé. L’expert Google Ads Alex Sanivsky montre, dans le fil cité par Schwartz, un faux email de demande d’accès qui imite une invitation Google :
- L’expéditeur semble légitime au premier coup d’œil,
- Le bouton “accepter” mène vers une page qui copie l’interface Google, mais avec une URL différente,
- La page demande de saisir à nouveau les identifiants, alors que l’utilisateur est déjà connecté.
Une personne qui valide cette séquence fournit ses identifiants au pirate. Sur la partie 2FA, le mode opératoire exact reste flou, mais le schéma général décrit bien un vol de session ou de credentials, puis une prise de contrôle du MCC.
Une fois à l’intérieur, les attaquants :
- Ajoutent des comptes ou des utilisateurs,
- Lancent des campagnes frauduleuses (souvent vers du malware ou du phishing),
- Dépensent massivement sur les moyens de paiement déjà stockés.
Dans le cas de Craig, selon son échange avec Schwartz :
- Les équipes ont rempli les formulaires « compromised account » pour le MCC et certains sous-MCC,
- Un client reçoit une réponse qui promet un retour plusieurs jours plus tard,
- Un autre se voit répondre qu’aucune fraude n’a été détectée, malgré les preuves,
- Les pirates auraient déjà dépensé des dizaines de milliers de dollars en 24 heures,
- Les cartes bancaires sont annulées, le RIB délié du profil de paiement… mais de nouvelles dépenses continuent d’apparaître.
Le temps de réponse devient alors un facteur de risque financier majeur.
Dans les réactions citées sur le forum, un stratège US, Hans Lacida, estime que certains détournements paraissent « trop précis » pour écarter toute autre hypothèse que le phishing, et évoque, à titre de théorie, un possible risque interne dans certains cas. Son conseil reste pragmatique : accès stricts et audits quotidiens.
D’autres commentaires traduisent une perte de confiance vis-à-vis de Google Ads.
La réponse officielle de Google et les garde-fous à renforcer
Barry Schwartz rappelle l’existence de la page d’aide Google « Que faire si votre compte est compromis », mais note que, dans le cas d’un MCC, ces instructions ne suffisent pas à stopper immédiatement la dépense publicitaire.
Quelques jours avant ce cas médiatisé, un représentant Google Ads, Adesh, avait publié dans le forum officiel un rappel de « bonnes pratiques pour sécuriser votre compte », avec plusieurs axes :
1. Vigilance sur le phishing
Google dit constater :
- Des emails non sollicités demandant identifiants ou validation d’accès,
- De faux messages jouant sur des offres d’emploi, de formation ou d’audit de compte,
- Des invitations d’accès à un compte Ads qui ne proviennent pas des interlocuteurs habituels.
Leurs conseils : vérifier soigneusement l’adresse d’expédition, l’URL réelle des pages de connexion et ne jamais saisir ses identifiants après un simple clic sur un lien reçu par email, même si l’interface ressemble à celle de Google.
2. Nettoyage des comptes dormants et des accès inutiles
Les comptes inactifs, les anciens collaborateurs ou les partenaires qui n’ont plus besoin d’accès forment une surface d’attaque idéale. Le message de Google recommande :
- Suppression des comptes utilisateurs inutiles,
- Fermeture des comptes Ads entièrement inactifs lorsque leur maintien ne se justifie plus,
- Revue régulière des droits dans les MCC.
3. Surveillance des signaux d’alerte
Parmi les signes cités :
- Connexions depuis des appareils ou des localisations inhabituelles,
- Ajout soudain de nouveaux utilisateurs ou de nouveaux comptes dans un MCC,
- Campagnes créées ou modifiées sans validation interne,
- Hausse brutale de dépenses sur une période très courte.
Face à ces signaux, la marche à suivre officielle renvoie à la procédure de compte compromis :
audit des activités récentes, réinitialisation des accès, renforcement de la sécurité.
Ce que les annonceurs peuvent en retirer immédiatement
À partir des cas remontés et des consignes de Google, plusieurs réflexes se dessinent pour les agences et les annonceurs :
- Former les équipes à repérer les faux emails d’accès (audit, “invitation MCC”, etc.).
- Limiter la surface d’attaque : moins d’utilisateurs, moins de comptes dormants et droits revus régulièrement.
- Activer 2FA partout, idéalement avec clés de sécurité matérielles pour les accès les plus sensibles.
- Mettre en place des alertes sur les pics de dépenses, les nouvelles campagnes et les changements majeurs.
- Contrôler chaque jour les MCC, même lorsque les performances paraissent stables.
Un détournement de MCC n’expose pas qu’un seul annonceur, mais toute une grappe de comptes. Dans un contexte de tension sur les budgets et de défiance croissante envers les plateformes, chaque jour de délai ajoute une couche de perte financière et de suspicion.
