Google Shield

Sécurisez votre compte Google Ads contre l'augmentation des piratages

Depuis environ un an, j'ai constaté un nombre croissant de plaintes concernant le piratage de comptes Google Ads. La situation semble empirer, même après avoir évoqué les piratages de comptes Google Ads en novembre dernier. Alors, comment réduire les risques de piratage de votre compte Google Ads ?

Pour commencer, le piratage de votre compte Google Ads peut être dévastateur, et c'est bien pire au niveau de l'agence. Vos budgets peuvent être dépensés, vos comptes bancaires peuvent être épuisés et l’historique de vos comptes et votre réputation peuvent être ruinés. Tout cela peut également conduire à la perte de clients publicitaires et peut-être pire encore. Nous en avons parlé en partie dans notre article de novembre.

Alors, que pouvez-vous faire pour protéger votre compte ? Je dois être clair : même si vous faites cela correctement, cela ne garantit pas que votre compte ne sera pas piraté un jour. Cela contribue simplement à réduire les risques que cela se produise.

Google Ads propose un document d'aide sur la façon de sécuriser votre compte Google Ads et il couvre :

  • HTTPS : utilisez le protocole HTTPS lorsque vous utilisez le Web

  • E-mails @Google.com, Google vous enverra uniquement des e-mails à partir d'un e-mail @google.com

  • Liens, méfiez-vous des liens et faites un clic droit sur le lien et voyez dans un bloc-notes où va ce lien

  • Les appels téléphoniques de Google devraient être suspects

  • Configurer la vérification en deux étapes

  • Activer la fonctionnalité Confirmer que c'est vous

  • Configurer des politiques de sécurité au niveau du MCC

Vous pouvez lire plus de détails ici.

Scott Clark a publié d'autres conseils sur LinkedIn, qui, selon lui, devraient être partagés :

  • Renforcez les connexions : utilisez des mots de passe uniques + 2FA (application d'authentification préférée). Le 2FA basé sur le texte devient de jour en jour plus facile à vaincre. Cela inclut les comptes gestionnaires (souvent utilisés pour la facturation mensuelle) et l'accès régulier aux comptes.

  • Réduire l’accès – Définissez judicieusement les utilisateurs et leurs niveaux d’accès. Soyez extrêmement prudent avec les listes de « domaines autorisés ». N'ajoutez jamais un utilisateur @gmail.com ou autorisez @gmail.com comme domaine autorisé dans Google Ads (MCC ou acct) – veuillez ne pas « prendre en compte les informations d'identification de l'administrateur » – même si la personne figure en haut de l'organigramme.

  • Recevoir une invitation Access ? Méfiez-vous extrêmement des demandes MCC nouvelles ou inconnues. Nous entendons dire que certains utilisent des e-mails très réels. Certaines personnes les ont même confondus avec les demandes d'accès à Google Doc. Nous vous recommandons de nous les transmettre pour examen.

  • Soyez prudent avec les « audits », les tableaux de bord et les « démonstrations d'outils » : certains commencent par un « examen rapide » puis demandent un accès étendu ; d'autres proviennent de tiers ayant une mauvaise hygiène de sécurité. Si cela est nécessaire, définissez un rappel pour supprimer l’accès à la seconde où la démo est terminée.

  • Supposons que l'« assistance Google » non sollicitée n'est pas fiable : un e-mail @google.com à lui seul ne constitue pas une preuve suffisante – malheureusement. Nous vérifierons ces utilisateurs auprès de nos contacts Google si nécessaire pour nos clients, généralement dans quelques heures.

  • Sécurité en couches (MCC et compte) : si vous utilisez la facturation mensuelle, vous devez maintenir des pratiques d'hygiène sur les deux couches. Les attaques arrivent simultanément sur les deux.

  • Google Analytics est une porte dérobée de « reconnaissance » : c'est une mine d'or d'ingénierie sociale. Les pirates utilisent l'accès GA4 pour récolter les adresses e-mail exactes de vos administrateurs et dirigeants. Ils utilisent ensuite vos vrais noms de campagne et dépensent des données pour créer des e-mails de spear phishing très convaincants.

  • Tag Manager (GTM) est le contournement ultime de 2FA : GTM permet aux utilisateurs d'exécuter du code qui « clone » votre session de connexion active (Cookie Hijacking). Une fois qu'ils ont votre « bracelet » de session, ils peuvent accéder au compte depuis leur propre ordinateur sans jamais avoir besoin de votre mot de passe ou de votre code 2FA. Ils ne se connectent pas ; ils usurpent simplement l'identité de votre navigateur déjà vérifié.

Voici une autre arnaque que j'ai vue publiée récemment et Ginny Marvin de Google a répondu : « Bon travail pour vérifier l'e-mail et le domaine, Jonathan. Merci pour le signalement. Malheureusement, ces types de tactiques ne sont pas rares. Pendant que nos équipes prennent des mesures pour empêcher les piratages de compte, nous exhortons nos agences partenaires et nos annonceurs à mettre en œuvre les meilleures pratiques de sécurité. Veuillez consulter cet article du centre d'aide qui explique comment vérifier si c'est réellement Google qui essaie de vous joindre, protéger votre compte et signaler toute activité suspecte. « 

Ce truc fait peur, mais faites ce que vous pouvez pour protéger vos comptes.

Discussion sur le forum sur LinkedIn.

L'équipe IBS Paris
L'équipe IBS Paris

IBS Paris, fondée en 2011, est pionnière dans l'intégration de l'innovation et du digital au cœur de son enseignement en école de commerce. Elle cultive une communauté étudiante engagée, favorisant l'excellence et le travail d'équipe. Ce creuset d’ambition prépare ses étudiants à devenir des leaders éclairés dans le monde du commerce global.