cyberattaque newsletter

Retour d’expérience : j’ai subi une cyberattaque – Episode 259

Épisode diffusé le 21 novembre 2024 par Estelle Ballot

Écouter l'épisode :

0:00 --:--
Vitesse
iTunes
Spotify
Share 0
Post 0
Share 0

Une cyberattaque newsletter ne ressemble pas à ce qu’on imagine. Pas de message de rançon, pas d’alerte rouge dans le tableau de bord. Juste des abonnés qui arrivent. Des dizaines par jour. Et un ego qui gonfle tranquillement pendant que les dégâts s’accumulent en silence. C’est exactement ce qu’a vécu Estelle Ballot, fondatrice du Podcast du Marketing, à l’été 2024 – et son témoignage, aussi précis que dérangeant, mérite qu’on s’y arrête.

Quand la croissance devient une alerte

Juin 2024. Estelle vient de refaire son site avec des couleurs acidulées, de nouvelles photos, des lead magnets bien positionnés. La mécanique d’acquisition est en place. Et les inscriptions décollent. Une semaine, deux semaines, trois semaines – chaque matin, de nouveaux abonnés.

Sauf que non.

Ce n’était pas son travail qui fonctionnait. C’était des robots qui inscrivaient, en masse, des adresses email réelles de personnes qui n’avaient strictement rien demandé. Des Américains, majoritairement, qui allaient recevoir une newsletter en français sur le marketing digital. Le truc c’est que pendant plusieurs semaines, rien ne distinguait ces inscriptions frauduleuses d’une vraie croissance organique – et c’est précisément ce qui rend cette attaque efficace.

« Mon audience ne grossit pas comme par magie, je suis en train de subir une attaque. Des robots inscrivent tous les jours des gens qui n’ont rien demandé à ma newsletter. »

Dit comme ça, ça paraît évident. Mais sur le moment, avec un site tout neuf et une stratégie de contenu qu’on vient de retravailler – qui irait chercher la faille ?

La question de la motivation derrière ce type d’attaque, Estelle l’a posée à ChatGPT (ce qui dit quelque chose sur à quel point le sujet sort des radars habituels). Réponse : saboter la réputation d’un expéditeur, dégrader sa délivrabilité, ou tout simplement faire gonfler les coûts d’hébergement de la base email. Les gestionnaires de listes facturent souvent au nombre de contacts – quelques centaines d’abonnés fantômes peuvent suffire à faire passer un palier de pricing.

Le vrai problème, c’est Gmail – pas le pirate

La cyberattaque newsletter en elle-même n’est pas la catastrophe. La catastrophe, c’est ce qu’elle déclenche côté algorithme.

Estelle a perdu 10 points de taux d’ouverture. Elle est passée de 42% à 30-32%. En apparence, c’est juste une stat qui baisse – et on pourrait se dire que les abonnés légitimes, eux, continuent d’ouvrir. Mathématiquement, le nombre absolu de lecteurs réels ne change pas.

Sauf que Gmail ne fonctionne pas comme ça.

« Google voit qui ouvre les emails, qui ne les ouvre pas, quels sont les emails qui sont ouverts, quels sont les emails qui ne sont pas ouverts. Si vous avez de mauvais taux d’ouverture, Gmail va avoir tendance à vous mettre directement dans les spam. »

C’est là que ça devient vraiment dangereux. Gmail a construit sa réputation précisément sur sa capacité à filtrer les expéditeurs peu fiables – et il le fait en analysant des signaux comportementaux à très grande échelle. Un taux d’ouverture qui s’effondre sur plusieurs semaines envoie un signal clair : cet expéditeur n’intéresse pas ses destinataires. La réponse algorithmique est mécanique. Passage en spam. Et une fois qu’on est dans les spam, les abonnés qui avaient choisi de s’inscrire – eux, les vrais – ne recevront plus rien.

Ce que j’aurais voulu qu’on me dise – enfin, ce que j’aurais voulu lire avant – c’est que la délivrabilité se dégrade silencieusement, bien avant que quiconque ne se plaigne. Il n’y a pas d’alerte. Il n’y a que des chiffres qui bougent dans le mauvais sens pendant que tu continues à publier normalement.

Pour les solopreneurs et les créateurs de contenu qui vivent de leur audience, cette dépendance à l’infrastructure de Gmail est un angle mort massif. Le marketing pour les solopreneurs repose souvent entièrement sur la newsletter – et peu d’entre eux ont vraiment cartographié ce risque.

cyberattaque newsletter : arrêter l’hémorragie en moins de 48 heures

La première action d’Estelle a été radicale et immédiate : activer le double optin.

Le principe est connu. Quand quelqu’un s’inscrit, il reçoit un email de confirmation et doit cliquer pour valider. Les robots, eux, ne cliquent pas – parce qu’ils n’ont pas accès aux boîtes mail des adresses qu’ils utilisent. Résultat : les inscriptions frauduleuses s’arrêtent net.

« J’ai mis le double optin, ça a immédiatement stoppé les inscriptions automatiques d’adresse email. J’ai attendu 2 semaines et j’ai enlevé le double optin. J’ai regardé comme le lait sur le feu… rien à signaler, le robot était parti sévir ailleurs. »

Deux semaines. C’est court. Et visiblement suffisant pour que l’attaque cesse.

Mais Estelle ne recommande pas le double optin en permanence – et c’est une prise de position qui mérite qu’on en parle. Les experts en cybersécurité diront tous de le laisser actif. Elle, elle a fait le calcul inverse : faire grossir sa base email coûte cher en temps et en énergie, et le double optin crée une friction qui fait perdre de vrais abonnés – des gens qui avaient l’intention de s’inscrire et qui oublient simplement de cliquer sur l’email de confirmation.

C’est une vraie concession. Et elle est honnête là-dessus. Son choix : surveiller quotidiennement les inscriptions et réactiver le double optin dès que quelque chose cloche. Une vigilance manuelle plutôt qu’une protection automatique permanente. Ca peut paraître risqué – et ça l’est, un peu. Mais c’est aussi une décision de gestion du risque, pas une négligence.

Une fois l’attaque stoppée, le travail de nettoyage. Estelle a passé en revue sa base manuellement pour identifier les adresses ajoutées par les robots. Dans son cas, c’était repérable : les prénoms étaient des suites alphanumériques absurdes, mélange de majuscules, minuscules et chiffres. Quelques heures de travail – pénibles, mais nécessaires – pour supprimer les fantômes et ne pas continuer à envoyer des emails à des gens qui n’en veulent pas.

Reconstruire la confiance de Google après une cyberattaque newsletter

Stopper l’attaque, c’est la partie rapide. Remonter les taux d’ouverture et regagner la confiance des algorithmes – c’est une autre histoire.

Novembre 2024. L’attaque remonte à l’été. Et Estelle travaille encore à récupérer ses statistiques d’avant. Ce n’est pas une catastrophe, mais c’est long. Très long.

Sa stratégie repose sur trois axes. D’abord, segmenter la base et identifier les lecteurs les plus actifs – ceux qui ouvrent systématiquement, qui cliquent, qui sont là depuis longtemps. Elle les appelle ses « fans ». Ce segment-là reçoit la newsletter en priorité, au rythme habituel. Les lecteurs plus passifs, eux, reçoivent les emails moins fréquemment – toutes les deux semaines au lieu d’une.

L’objectif est purement mathématique : envoyer plus d’emails à ceux qui les ouvrent pour que le taux d’ouverture global remonte et que Gmail reçoive des signaux positifs. (Ce qui signifie aussi, concrètement, réduire temporairement la portée de sa newsletter – c’est désagréable à accepter.)

Deuxième axe : le nettoyage régulier de la base. Pas juste post-attaque – en continu. Identifier les contacts qui n’ont ouvert aucune campagne sur une période définie (3 mois, 6 mois – à calibrer selon la fréquence d’envoi), et leur envoyer un email de désinscription proactive.

La formulation compte. On ne les supprime pas sèchement. On leur dit : j’ai remarqué qu’on s’était éloignés, c’est normal, mais je ne veux pas t’importuner si le sujet ne t’intéresse plus. Et on leur donne un bouton pour rester si ils le souhaitent.

Ce détail – laisser la porte ouverte – est important. Certains abonnés n’ouvrent pas les emails mais les utilisent comme rappel. Dans le cas du Podcast du Marketing, voir l’email dans sa boîte suffit à certains pour se souvenir d’aller écouter l’épisode. Ils ne cliquent pas, mais ils consomment le contenu autrement. On ne peut pas les effacer sans réfléchir.

Et il y a un piège classique à éviter, qu’Estelle mentionne parce qu’elle l’a fait elle-même au début : inclure dans le segment à supprimer les personnes inscrites récemment qui n’ont simplement pas encore ouvert le premier email. Pour éviter ça, on filtre par date d’inscription, pas seulement par comportement d’ouverture. La segmentation comportementale demande ce genre de précision – un critère mal posé et on supprime exactement les mauvaises personnes.

Troisième axe, le plus évident mais le plus négligé : surveiller. Regarder les inscriptions quotidiennement. Regarder les taux d’ouverture après chaque envoi. Pas une fois par mois – tout le temps. La cyberattaque newsletter a duré plusieurs semaines avant d’être détectée parce que l’été ralentit ce type de vigilance. Et c’est là que le mal s’est installé.

Ce que ça dit de la newsletter comme actif business

Derrière l’anecdote technique, il y a une question plus large sur ce que représente une base email pour un entrepreneur indépendant.

Estelle le formule clairement : la newsletter, c’est son meilleur actif. Pas Instagram, pas le podcast lui-même – la liste email. Parce que c’est le seul canal qu’elle contrôle vraiment, que les algorithmes des réseaux sociaux ne peuvent pas lui couper du jour au lendemain.

Mais cette cyberattaque newsletter montre que ce contrôle est relatif. La liste email dépend d’un gestionnaire tiers. Elle dépend de la réputation auprès de Gmail. Elle dépend d’une vigilance constante sur des métriques qui peuvent chuter à cause de tiers malveillants totalement extérieurs. Ce n’est pas une raison de ne pas investir dans sa newsletter – c’est une raison de comprendre exactement comment elle peut être fragilisée.

Et franchement, la plupart des créateurs de contenu passent à côté de cette dimension. On parle beaucoup de stratégie de contenu, de fréquence d’envoi, de lignes d’objet qui convertissent. On parle peu de délivrabilité, de réputation d’expéditeur, de ce que Gmail pense de toi à 3h du matin quand il classe tes emails. Les automatisations marketing qu’on intègre à sa liste email présupposent toutes que les emails arrivent en inbox – et cette présupposition mérite d’être questionnée régulièrement.

Ce que j’aurais voulu qu’on me dise, c’est aussi que la croissance d’une base email ressemble parfois à une attaque – et qu’une attaque peut ressembler à de la croissance. Les deux méritent la même vérification.

Pour les entrepreneurs qui construisent leur business autour d’une audience email, cet épisode est un signal d’alarme utile. Pas paranoïaque – utile. Cinq ans de podcast peuvent se construire sur une base email solide ou s’effriter si cette base n’est pas entretenue avec la même rigueur que le contenu lui-même.

Les chiffres qu’on n’oublie pas

42% de taux d’ouverture avant l’attaque. 30-32% après. Une chute de 10 points sur plusieurs semaines.

Pour ceux qui ne travaillent pas quotidiennement avec ces métriques : 42%, c’est excellent. C’est le résultat de mois, peut-être années, de travail sur la qualité du contenu, la pertinence des sujets, la relation avec une audience qui a choisi de te lire. 30%, c’est encore correct dans l’absolu. Mais la trajectoire, elle, est catastrophique – et Gmail la voit.

Plusieurs centaines d’adresses fantômes sur plusieurs semaines. Un coût direct sur la facturation du gestionnaire de liste. Et un coût indirect, beaucoup plus difficile à chiffrer, sur la réputation d’expéditeur – cette note invisible que les serveurs de messagerie calculent en permanence et qui détermine si tes emails arrivent en inbox ou en spam.

Et novembre 2024, soit 4-5 mois après l’attaque, les stats ne sont toujours pas revenues au niveau d’avant. C’est ça, le vrai coût d’une cyberattaque newsletter – pas les quelques euros de facturation supplémentaire sur le gestionnaire de liste. Le temps de reconstruction.

Estelle Ballot a eu le réflexe de documenter tout ça en détail, chiffres à l’appui, dans l’épisode 259 du Podcast du Marketing. C’est rare. La plupart des créateurs de contenu préfèrent ne pas parler de leurs galères techniques – soit par pudeur, soit parce que ça ne fait pas très sérieux. La définition du succès en entrepreneuriat inclut peut-être aussi ça : la capacité à raconter ce qui n’a pas marché, pour que les autres évitent le même piège.

Mais la vraie question qui reste ouverte – et à laquelle cet épisode ne répond pas complètement – c’est : comment savoir si c’est en train de t’arriver en ce moment même ? Si tu n’as pas le réflexe de surveiller tes inscriptions quotidiennement, tu pourrais être exactement dans la même situation qu’Estelle en juin 2024, en train de te trouver sacrément doué pendant que les robots font leur travail.

Questions fréquentes

Qu'est-ce qu'une cyberattaque newsletter et comment la reconnaître ? +
Une cyberattaque newsletter consiste à inscrire massivement des adresses email réelles à la newsletter d'un tiers, sans le consentement de ces personnes. Le signe le plus trompeur : une croissance anormalement rapide des abonnés sur plusieurs jours consécutifs. Si vous voyez des dizaines d'inscriptions par jour sans avoir lancé de campagne d'acquisition particulière, vérifiez les prénoms et adresses ajoutés - des suites alphanumériques incohérentes sont un signal d'alarme clair.
Pourquoi une cyberattaque newsletter fait baisser le taux d'ouverture ? +
Les adresses ajoutées frauduleusement appartiennent à des personnes qui n'ont pas demandé à recevoir vos emails. Elles n'ouvrent pas vos newsletters, ce qui fait mécaniquement chuter votre taux d'ouverture. Gmail interprète ce signal comme un signe que votre contenu n'intéresse pas vos destinataires, et peut progressivement classer vos envois comme spam - même pour vos vrais abonnés.
Comment arrêter une cyberattaque newsletter rapidement ? +
La solution immédiate est d'activer le double optin sur votre formulaire d'inscription. Les robots ne peuvent pas valider la confirmation envoyée par email aux adresses qu'ils utilisent, donc les inscriptions frauduleuses s'arrêtent net. Estelle Ballot a stoppé son attaque en moins de 48 heures avec cette méthode, avant de désactiver le double optin deux semaines plus tard une fois l'attaque terminée.
Faut-il garder le double optin activé en permanence pour se protéger ? +
Les experts en cybersécurité recommandent de le laisser actif en permanence. En pratique, le double optin crée une friction qui fait perdre de vrais abonnés - des personnes qui avaient l'intention de s'inscrire mais qui oublient de cliquer sur l'email de confirmation. C'est un arbitrage entre sécurité et croissance de liste. Une alternative : surveiller quotidiennement les nouvelles inscriptions et réactiver le double optin dès qu'un comportement anormal est détecté.
Comment remonter son taux d'ouverture après une cyberattaque newsletter ? +
Le processus prend plusieurs mois. La stratégie recommandée par Estelle Ballot comporte trois étapes : segmenter sa base pour identifier les lecteurs les plus actifs et leur envoyer les emails en priorité ; nettoyer régulièrement la base en supprimant les contacts inactifs sur une période définie, après leur avoir envoyé un email de désinscription proactive ; et surveiller les métriques après chaque envoi pour ajuster la fréquence selon les segments.
Que risque-t-on légalement si des adresses non consentantes sont dans sa base email ? +
Envoyer des emails à des personnes qui n'ont pas consenti à recevoir vos communications est illégal au regard du RGPD en Europe. Même si vous êtes victime d'une cyberattaque newsletter et n'êtes pas à l'origine des inscriptions frauduleuses, c'est votre base email et votre responsabilité d'expéditeur qui sont en jeu. Il faut identifier et supprimer ces adresses le plus rapidement possible pour rester en conformité.
 Podcast précédent

Épisodes similaires

  • Business & Entrepreneuriat
    • créa facebook ads
  • 37:11

    • [Best Episode] Les pubs facebook qui marchent avec Danilo Duchesnes – Episode 138

    co-marketing
  • 17:12

    • Le marketing de collaboration, la recette de Queen et Bowie – Episode 258

    marketing digital par où commencer
  • 26:34

    • [Best Episode Marketing digital – par où commencer – épisode 71

    leviers de croissance
  • 42:29

    • 18 leviers de croissance pour booster votre entreprise avec Matis Cauver – Episode 257

    syndrome de l'imposteur
  • 31:01

    • [Best Episode] 1/3 Les 10 meilleures stratégies du Podcast du Marketing – Episode 100

    persona marketing
  • 19:48

    • Pourquoi travailler son persona est essentiel pour réussir sa stratégie marketing – Episode 256

    communauté engagée
  • 40:41

    • [Best Episode] Avoir une communauté engagée avec Nadia Gabriel – Episode 117

    employee advocacy
  • 32:56

    • Votre stratégie d’employee advocacy en 5 étapes avec Emilie Houdou – Episode 255

    lead magnet
  • 27:59

    • [Best Episode] Les secrets de mon meilleur lead magnet – Episode 97

    mots magiques copywriting
  • 37:58

    • 3 mots magiques qui font vendre avec Selim Niederhoffer – Episode 254