Comment éviter de se faire hacker son compte Facebook : les failles de sécurité à corriger d’urgence
Si vous faites de la publicité sur Facebook Ads, la menace de vous faire hacker votre compte est bien réelle. C’est une problématique complexe qui peut paralyser vos activités et, dans le pire des cas, vous faire perdre définitivement l’accès à vos ressources. Comme l’explique Antoine Dalmas, animateur du podcast Social Scaling, cette menace s’intensifie particulièrement en fin d’année : « On va arriver petit à petit à la fin de l’année et c’est à la fin de l’année que les plus gros hacks se font. » C’est pourquoi il a invité Julien Test Arno, expert en cybersécurité et fondateur de Rézolock, une entreprise spécialisée dans la sécurisation des réseaux sociaux, pour partager des cas concrets et des conseils pratiques.
L’erreur n°1 : La gestion des mots de passe dans un fichier Excel
La première histoire partagée par Julien concerne une grande agence marketing d’une cinquantaine d’employés. Lors d’un audit, il a découvert une faille critique qui mettait en péril non seulement l’agence, mais aussi tous ses clients. « Ils géraient les mots de passe, autant les mots de passe pour les comptes des employés que tous les mots de passe des comptes clients, dans un fichier Excel », raconte Julien. Ce fichier était stocké sur Dropbox, accessible à tous les employés, et pour couronner le tout, l’authentification à double facteur n’était activée sur aucun compte.
Cette pratique, bien que répandue pour sa supposée simplicité, est une porte ouverte aux pirates. Julien est catégorique : « Un fichier Excel, un fichier Google Sheet, ce n’est pas un endroit où sauvegarder des mots de passe. Il faut absolument arrêter de faire ça, ce n’est pas du tout sécuritaire. » Même protégé par un mot de passe, un tel fichier peut être cracké en quelques minutes. Les mots de passe doivent être stockés dans un gestionnaire de mots de passe sécurisé, où l’information est chiffrée. Si un pirate met la main sur ce fichier Excel, il obtient un accès direct à l’ensemble des comptes.
L’erreur n°2 : Donner accès à tout, à tout le monde
La deuxième faille, directement liée à la première, est le manque de segmentation des accès. Dans l’agence auditée, tout le monde avait accès au fameux fichier Excel. Or, comme le souligne Julien, « est-ce que la secrétaire, est-ce que le directeur financier a besoin d’avoir accès aux mots de passe des clients des réseaux sociaux ? Ben la réponse c’est non. »
Cette approche expose l’entreprise à un risque démultiplié. Antoine le résume bien : « Il suffirait finalement qu’une seule personne se fasse hacker son compte Dropbox […] et que derrière bah toute la société tombe. » La solution réside dans l’application du « principe du moindre privilège », un concept fondamental en cybersécurité. Il s’agit de ne donner aux employés que les accès strictement nécessaires à l’accomplissement de leur travail. En limitant le nombre de personnes ayant accès aux données sensibles, on réduit mathématiquement le risque qu’une faille humaine compromette l’ensemble du système.
L’erreur n°3 : L’utilisation abusive du rôle d’administrateur
Une autre histoire, cette fois-ci chez une entreprise du secteur agroalimentaire, illustre une autre erreur fréquente : l’attribution systématique des droits d’administrateur. « Tous les utilisateurs qui avaient accès au business manager de l’entreprise avaient le rôle contrôle total du business manager et tout le monde était administrateur de la page Facebook », constate Julien. Cette pratique, souvent motivée par la recherche de rapidité et de facilité, est extrêmement dangereuse.
Un compte avec le « contrôle total » peut non seulement accéder à toutes les ressources, mais surtout, il peut retirer les autres administrateurs. En cas de piratage d’un de ces comptes, les fraudeurs peuvent simplement exclure tous les autres propriétaires légitimes et prendre le contrôle total et définitif des actifs. Pourtant, la plupart des tâches quotidiennes, que ce soit la gestion des publicités ou la création de contenu, ne nécessitent pas un tel niveau de privilège. Limiter le nombre d’administrateurs est donc une mesure de protection simple et efficace.
Quand le piratage devient réalité : 3 cas concrets et leurs lourdes conséquences
Au-delà des audits, Julien a également été appelé à intervenir sur des cas de hacking avérés. Ces histoires montrent que l’impact d’un piratage va bien au-delà de quelques publicités frauduleuses.
Cas n°1 : La mauvaise configuration de l’authentification à double facteur
Une entreprise de vêtements, dépensant environ 1 million de dollars par an en publicité, a vu l’un de ses employés se faire pirater son compte Facebook. Cet employé avait le rôle « contrôle total » sur le Business Manager. La source du hack ? Une authentification à double facteur mal configurée. « Il avait activé mais il avait mal configuré, il avait fait avec une option de de SMS », explique Julien. Une faille dans ce système a permis au pirate de prendre le contrôle.
Les conséquences ont été multiples :
- Dépenses frauduleuses : Près de 10 000 dollars ont été dépensés pour des publicités en Asie.
- Perte d’accès : Même après avoir bloqué la carte de crédit, l’entreprise n’avait plus accès à ses propres comptes publicitaires, paralysant toutes ses campagnes.
- Impact sur le chiffre d’affaires : Le président a estimé la perte à plusieurs centaines de milliers de dollars de ventes non réalisées pendant cette période d’inactivité.
- Plafond de dépenses réinitialisé : Une fois les accès récupérés, le plafond de dépenses quotidien, qui était de plusieurs milliers de dollars, a été réinitialisé à moins de 100 dollars, freinant considérablement la reprise des activités.
Face à ce risque, Antoine conseille une mesure préventive : « Ayez des comptes de backup. C’est-à-dire vous créez un autre compte sur votre business manager […] et toute l’année, vous faites tourner un petit budget dessus. »
Cas n°2 : L’adresse e-mail, la porte d’entrée oubliée pour hacker son compte Facebook
Dans le cas d’une entreprise événementielle, le pirate n’a pas attaqué le compte Facebook directement, mais l’adresse e-mail qui y était associée. « Les gens oublient de sécuriser l’adresse email qui est associée à leur compte Facebook. Et donc même si le compte est sécurisé, si l’adresse email ne l’est pas, ça devient une porte d’entrée », prévient Julien.
Ici, la situation financière était encore plus complexe. La carte de crédit n’a pas été débitée directement, mais l’entreprise s’est retrouvée avec une balance de 6 200 dollars à payer à Meta. Le dilemme est alors terrible : payer la somme pour espérer récupérer son compte et se faire rembourser, ou refuser de payer et se lancer dans une bataille administrative avec Meta, pendant laquelle le compte reste bloqué. Une bataille qui, selon Julien, peut durer des mois et est rarement gagnée sans une médiatisation de l’affaire.
Cas n°3 : La réaction en chaîne, du client à l’agence
La dernière histoire est un avertissement pour toutes les agences et freelances. Une agence marketing gérait les comptes de plusieurs clients. Par une mauvaise configuration, le compte Facebook d’une employée s’est retrouvé lié au compte Instagram d’un client via le centre de comptes de Meta. Le compte Instagram du client, mal sécurisé, a été piraté. En passant par ce compte, le fraudeur a réussi à prendre le contrôle du compte Facebook de l’employée, et de là, à accéder à tous les comptes publicitaires et pages de tous les clients de l’agence. C’est le « strike », comme le décrit Antoine.
Cette histoire souligne une vérité cruciale : « Si l’agence est freelance se protège bien, c’est une bonne chose, mais si ton client de l’autre côté est mal protégé, il devient un risque pour lui-même mais aussi pour toi », insiste Julien. Il est donc fondamental d’éduquer et d’accompagner ses clients dans la sécurisation de leurs propres actifs.
Comment se protéger efficacement contre le hacking sur Facebook ?
Face à ces menaces, il est primordial d’adopter des mesures de protection robustes. Voici un résumé des conseils essentiels partagés par Julien et Antoine.
Déjouer les tentatives de phishing : E-mails et messages Messenger
Une vague massive de tentatives de phishing via Messenger a touché de nombreux gestionnaires de pages. La règle d’or de Julien est simple : « Pars du principe que Facebook ne va jamais t’écrire sur Messenger, dès que tu vois un message, tu te dis c’est faux. Tu viens somme toute de régler le problème. » Meta n’initie jamais le contact de cette manière pour des problèmes de sécurité.
Pour les e-mails, la vigilance est de mise. Les fraudeurs peuvent répliquer le design des communications de Meta à la perfection. La seule chose qu’ils ne peuvent pas usurper est le domaine de l’expéditeur. Un e-mail légitime de Meta proviendra d’un domaine comme @facebookmail.com ou @support.facebook.com. Si le domaine est un @gmail.com, @hotmail.com ou une variante suspecte (par exemple, avec des zéros à la place des ‘o’), c’est une fraude.
Les bonnes pratiques incontournables pour sécuriser vos comptes
- Utiliser un gestionnaire de mots de passe : C’est la seule manière sécurisée de stocker vos identifiants.
- Activer l’authentification à double facteur (2FA) PARTOUT : Sur Facebook, Instagram, votre e-mail, Dropbox, etc. Privilégiez une application comme Google Authenticator ou Microsoft Authenticator. « Le SMS, il faut absolument éviter ça. C’est vulnérable à des failles », martèle Julien.
- Segmenter les rôles (principe du moindre privilège) : Ne donnez le « contrôle total » qu’à un nombre très restreint de personnes de confiance.
- Utiliser la fonction partenaire : Pour les agences, c’est la meilleure façon de gérer les accès clients. Chaque entité conserve son propre environnement, et les accès peuvent être révoqués en un seul clic.
- Éduquer et sensibiliser : Antoine suggère aux agences de créer un simple PDF pour leurs clients, expliquant les risques de phishing. La meilleure protection reste le savoir.
- Avoir des comptes de backup : Préparez un compte publicitaire de secours, avec un pixel et un petit budget qui tourne toute l’année, pour pouvoir rebondir rapidement en cas de problème.
En conclusion, la cybersécurité n’est pas une option à remettre à plus tard. Comme le dit Julien, « on pense que c’est pas important jusqu’au jour où ça va être vous la victime et bah c’est là que si tu n’as rien fait avant, ça va faire mal. » En étant minutieux, en segmentant les rôles et en adoptant ces bonnes pratiques, vous réduirez considérablement le risque de vous faire hacker votre compte Facebook et de voir vos efforts publicitaires anéantis.
Questions fréquentes sur la sécurité des comptes Facebook Ads
Comment éviter de se faire hacker son compte Facebook ?
Pour éviter le hacking, il est crucial d’utiliser des mots de passe forts et uniques stockés dans un gestionnaire de mots de passe, d’activer l’authentification à double facteur via une application, de limiter les accès administrateur au strict nécessaire et de se méfier des tentatives de phishing par e-mail ou Messenger.
« La meilleure protection, c’est le savoir. Donc c’est à passer par justement de l’éducation, par la sensibilisation. Donc en effet, la meilleure manière de se protéger, c’est d’informer les gens des risques des attaques potentielles. » – Julien Test Arno
Quelle est la meilleure méthode pour l’authentification à double facteur sur Facebook ?
La méthode la plus sécurisée est d’utiliser une application d’authentification comme Google Authenticator ou Microsoft Authenticator. Il faut absolument éviter l’option par SMS, car elle est plus vulnérable à certaines attaques.
« Si tu avais activé le double facteur avec une application d’authentification, […] là c’est beaucoup plus complexe de contourner parce que là il faut que le fraudeur ait accès au téléphone physiquement et qu’il ait accès à l’application. » – Julien Test Arno
Est-ce que Meta envoie des messages sur Messenger pour des problèmes de sécurité ?
Non, Meta ne vous contactera jamais de manière proactive sur Messenger pour signaler une infraction ou un problème de sécurité. Si vous recevez un tel message, partez du principe qu’il s’agit d’une tentative de phishing et supprimez-le.
« Si tu pars du principe que Facebook ne va jamais t’écrire sur Messenger, dès que tu vois un message, tu te dis c’est faux. Tu viens somme toute de régler le le problème de se faire avoir. » – Julien Test Arno
Comment reconnaître un vrai e-mail de Facebook ?
Pour vérifier l’authenticité d’un e-mail, examinez l’adresse de l’expéditeur après le ‘@’. Les communications officielles de Meta proviendront de domaines comme « facebookmail.com » ou « support.facebook.com ». Méfiez-vous des adresses Gmail, Hotmail ou des domaines qui ressemblent à ceux de Meta mais avec de légères modifications.
« Dans le cas de Meta, souvent les courriels utilisés c’est facebookmail.com ou support.facebook.com. […] Si ce n’est pas un de ces domaines, bah tu sais que c’est une fraude. » – Julien Test Arno
Pourquoi est-il dangereux de donner un accès administrateur à tout le monde sur le Business Manager ?
Donner un accès administrateur (contrôle total) à de nombreuses personnes augmente considérablement le risque. Si un seul de ces comptes est piraté, le fraudeur peut prendre le contrôle de tous les actifs publicitaires et même exclure tous les autres administrateurs légitimes.
« Quand il y a une cyberattaque, ben si un compte qui super admin se fait pirater, et ben les fraudeurs vont retirer tous les autres administrateurs et ils vont prendre le contrôle de toutes les ressources. » – Julien Test Arno
Que faire si mon compte publicitaire Facebook a été piraté ?
La première chose à faire est de contacter immédiatement votre banque pour bloquer la carte de crédit associée au compte afin de stopper les dépenses frauduleuses. Ensuite, tentez de changer vos mots de passe et de récupérer l’accès. Si des sommes ont été débitées, vous pourrez tenter de vous faire rembourser par l’émetteur de la carte. Si une balance est due à Meta, le processus est plus complexe et long.
« Ils ont bloqué la carte de crédit dès qu’ils s’en sont rendus compte. Ah donc ils ont réussi à se faire rembourser les sommes fraudées au niveau de la carte de crédit. Donc ça c’est une bonne nouvelle. » – Antoine Dalmas
Est-il risqué de stocker les mots de passe dans un fichier Excel ou Google Sheet ?
Oui, c’est extrêmement risqué. Ces fichiers ne sont pas chiffrés et sont des cibles faciles pour les pirates. Même s’ils sont protégés par un mot de passe, celui-ci peut être contourné. Il faut impérativement utiliser un gestionnaire de mots de passe dédié.
« Un fichier Google Sheet, ce n’est pas un endroit où sauvegarder des mots de passe. Il faut absolument arrêter de faire ça, ce n’est pas du tout sécuritaire. » – Julien Test Arno
Comment sécuriser la collaboration entre une agence et un client sur Facebook Ads ?
La méthode la plus sûre est d’utiliser la fonction « partenaire » du Business Manager. Cela permet à l’agence d’accéder aux ressources du client sans en devenir propriétaire, tout en gardant les environnements de travail séparés. Les accès peuvent ainsi être gérés et révoqués de manière centralisée et sécurisée.
« C’est bien que le client ait son environnement et que l’agence ait le sien. Donc du coup, au lieu de devoir des accès direct sur chacune des ressources, mais tu crées un lien partenaire. » – Julien Test Arno
