La fin d’année, une période critique pour la sécurité de votre compte Facebook Ads
Si vous faites de la publicité sur Facebook Ads, il est fort probable que vous vous retrouviez un jour face à cette problématique : se faire hacker son compte. C’est une situation complexe qui vous handicape, gèle complètement vos activités et, dans le pire des cas, vous fait perdre définitivement votre compte. Comme le souligne Antoine Dalmas, animateur du podcast Social Scaling, « c’est à la fin de l’année que les plus gros hacks se font ». C’est en effet à cette période que les budgets publicitaires sont les plus conséquents et que les annonceurs cherchent à scaler. Pour aborder ce sujet crucial, il est accompagné de Julien Test Arnois, expert en cybersécurité et fondateur de Resoluc, une firme spécialisée dans la sécurisation des réseaux sociaux.
Dans cet article, nous allons décortiquer plusieurs cas concrets, issus d’audits et d’histoires de piratage réels, pour vous donner les clés afin d’éviter d’être la prochaine victime.
Première erreur critique : la gestion des mots de passe dans un fichier excel
Julien Test Arnois partage une première histoire, celle d’un audit de vulnérabilité mené pour une grande agence marketing d’une cinquantaine d’employés. Le constat est alarmant et malheureusement très répandu.
Le danger des fichiers partagés et non sécurisés
« Durant l’audit, j’ai constaté une faille assez critique », explique Julien. L’agence gérait tous les mots de passe, ceux des employés comme ceux des clients, dans un unique fichier Excel stocké sur Dropbox. Pire encore, tous les employés de l’agence avaient accès à ce fichier, et l’authentification à double facteur n’était activée sur aucun compte Dropbox. C’est un cocktail explosif.
Julien est formel : « Un fichier Excel ou un Google Sheet, ce n’est pas un endroit où sauvegarder des mots de passe. Il faut absolument arrêter de faire ça, ce n’est pas du tout sécuritaire ». Il précise que même un mot de passe sur le fichier Excel peut être contourné en quelques minutes. La seule solution viable est d’utiliser un gestionnaire de mots de passe dédié, où l’information n’est pas stockée en clair. Si ce fichier tombe entre de mauvaises mains, c’est l’accès à tous les comptes qui est compromis.
Le principe du moindre privilège : une protection essentielle
La deuxième faille majeure dans cette histoire est que tout le monde avait accès à tout. « Est-ce que la secrétaire, est-ce que le directeur financier a besoin d’avoir accès aux mots de passe des clients des réseaux sociaux ? Bah la réponse, c’est non », martèle Julien. C’est ici qu’intervient le principe du moindre privilège, un concept fondamental en cybersécurité : donner aux personnes uniquement les accès dont elles ont réellement besoin pour faire leur travail.
En limitant le nombre de personnes ayant accès aux données sensibles, on réduit mathématiquement le risque. S’il suffit qu’un seul employé se fasse pirater son compte Dropbox pour que toute l’agence tombe, le risque est maximal. En segmentant les accès, l’impact d’un piratage individuel est considérablement réduit.
L’abus des rôles administrateurs : une faille de sécurité Facebook Ads courante
La deuxième histoire concerne une entreprise dans l’agroalimentaire qui gérait ses réseaux sociaux en interne et faisait appel à une agence pour la publicité. La faille ici réside dans une utilisation abusive des permissions.
Pourquoi donner le « contrôle total » est une mauvaise idée
« Tous les utilisateurs qui avaient accès au business manager de l’entreprise avaient le rôle contrôle total du business manager et tout le monde était administrateur de la page Facebook », raconte Julien. C’est une pratique très courante, souvent motivée par la recherche de rapidité et de facilité. On donne l’accès admin à tout le monde pour ne pas être dérangé par des demandes de permissions.
Le danger est énorme. Une personne avec le contrôle total d’un Business Manager peut non seulement s’ajouter à n’importe quelle ressource (compte publicitaire, page, pixel), mais aussi et surtout, retirer tous les autres administrateurs. Si un seul de ces comptes « super admin » est piraté, les fraudeurs peuvent prendre le contrôle total et exclure les propriétaires légitimes.
Limiter les permissions pour réduire la surface d’attaque
La réalité, c’est que la plupart des tâches quotidiennes sur Facebook Ads n’exigent pas un accès administrateur. « Tu as pas besoin d’être admin de compte publicitaire, tu as pas besoin d’être admin d’une page Facebook pour configurer et pousser des publicités », explique Julien. Gérer les campagnes, créer des publicités, analyser les résultats, tout cela peut se faire avec des accès partiels.
L’accès « contrôle total » n’est nécessaire que pour des actions critiques comme la modification des moyens de paiement ou des plafonds de dépense. En limitant drastiquement le nombre de personnes ayant ce rôle, vous augmentez statistiquement les chances qu’un éventuel piratage touche un compte avec des droits limités, minimisant ainsi les dégâts.
Histoire d’un hack concret : les conséquences financières d’un compte piraté
Passons maintenant à une histoire de hacking qui s’est réellement produite. Une entreprise de vêtements, dépensant environ un million de dollars par an en publicité Facebook Ads, a vu l’un de ses employés se faire pirater son compte Facebook.
L’impact direct : des dépenses frauduleuses en Asie
Cet employé avait, bien sûr, le rôle de contrôle total sur le Business Manager. Les pirates ont donc immédiatement pris le contrôle de tous les comptes publicitaires. « Comme il y avait des moyens de paiement enregistrés, ils ont dépensé un peu moins de 10 000 dollars pour faire des publicités en Asie », détaille Julien. L’entreprise a réagi vite, bloqué la carte de crédit et a réussi à se faire rembourser les sommes. On pourrait croire l’histoire terminée, mais le pire restait à venir.
L’impact indirect : la perte de chiffre d’affaires et la chute des plafonds de dépenses
Même si l’hémorragie financière a été stoppée, l’entreprise avait perdu les accès à ses propres comptes publicitaires. « Pendant plusieurs semaines, ils n’avaient plus l’accès à leur compte, donc il y a plus de pubs qui se lançaient ». Pour une entreprise dépensant un million par an, passer à zéro du jour au lendemain a un impact direct sur les ventes. Le président a estimé les pertes à plusieurs centaines de milliers de dollars.
De plus, une fois les accès récupérés, un autre problème est survenu. Meta, par mesure de sécurité après un piratage, réinitialise souvent le plafond de dépenses quotidien au minimum. « Ils dépensaient quelques milliers de dollars par jour et là, ils sont tombés à un peu moins de 100 dollars par jour ». Il a fallu des semaines, voire des mois, pour remonter progressivement le budget et retrouver la capacité de dépense d’avant le piratage, prolongeant ainsi l’impact négatif sur le chiffre d’affaires.
Le conseil de J7 Media : l’importance des comptes de backup
Face à ce risque, Antoine Dalmas partage une stratégie proactive : « Ayez des comptes de backup ». L’idée est de créer un autre compte publicitaire au sein de votre Business Manager et de faire tourner un petit budget dessus tout au long de l’année. Ainsi, si votre compte principal tombe, vous disposez d’un compte de secours qui a déjà un historique de dépenses, ce qui facilitera une montée en puissance rapide et sera mieux perçu par Meta.
La source du piratage : l’importance de l’authentification à double facteur (2FA)
Dans le cas de l’entreprise de vêtements, la source du hack était simple : l’employé avait mal configuré son authentification à double facteur. C’est un point crucial de la sécurité de votre compte Facebook.
L’erreur à ne pas commettre : l’authentification par SMS
« Il l’avait fait avec une option de SMS », explique Julien. « Il y a eu une faille au niveau des textos et donc le fraudeur a réussi à rentrer ». L’authentification par SMS est meilleure que rien, mais elle est vulnérable à des attaques comme le « SIM swapping » (détournement de carte SIM). C’est pourquoi il faut l’éviter.
La solution la plus sûre : les applications d’authentification
La méthode la plus robuste est d’utiliser une application dédiée comme Google Authenticator ou Microsoft Authenticator. Ces applications génèrent un code unique toutes les 15 à 30 secondes directement sur votre téléphone. Pour un pirate, la contourner est bien plus complexe : « il faut que le fraudeur ait accès au téléphone physiquement et qu’il ait accès à l’application ». C’est une barrière de sécurité bien plus efficace. Il est primordial d’activer cette 2FA sur tous vos comptes : Facebook, Instagram, Google, Dropbox, etc.
Quand la fraude n’est pas débitée : le dilemme de la balance de compte
Une autre histoire de hack révèle un problème différent. Une entreprise dans l’événementiel s’est fait pirater via l’adresse email mal sécurisée d’un employé. Les pirates ont dépensé 6 200 dollars, mais la transaction sur la carte de crédit n’est pas passée.
Se battre contre Meta pour annuler une dette frauduleuse
L’entreprise s’est retrouvée avec une balance de compte négative de 6 200 dollars chez Meta. Tant que cette somme n’est pas réglée, le compte publicitaire reste bloqué. Le dilemme est alors cornélien : payer la somme en espérant un remboursement (qui n’est jamais garanti), ou refuser de payer et se lancer dans une bataille administrative avec Meta pour prouver sa bonne foi. « C’est des batailles à plus finir », prévient Julien. Pendant ce temps, impossible de faire de la publicité. Souvent, la solution la plus « rentable » est de payer, même si la somme est frauduleuse, pour pouvoir reprendre son activité au plus vite.
Phishing : comment déceler les faux messages et emails de Meta ?
Les pirates n’attaquent pas toujours de front. Le phishing, ou hameçonnage, est une technique très répandue pour voler vos identifiants.
La règle d’or pour les messages sur Messenger
Vous avez sûrement déjà reçu des messages sur la page de votre entreprise, prétendant venir de Meta et vous menaçant de restriction. Julien est catégorique : « La meilleure protection, c’est de partir du principe que c’est faux. Facebook ne va jamais t’écrire sur Messenger ». Meta n’initie jamais le contact de cette manière. Si vous ouvrez un ticket de support, vous pouvez échanger avec eux, mais ils ne viendront jamais vous contacter d’eux-mêmes via Messenger. La seule chose à faire est de supprimer le message.
Comment vérifier l’authenticité d’un email de Meta
Pour les emails, la vigilance est de mise. Les fraudeurs peuvent imiter parfaitement le design des communications de Meta. Le seul élément qu’ils ne peuvent pas usurper est l’adresse de l’expéditeur. « La meilleure manière de se protéger, c’est de regarder l’adresse courriel de l’expéditeur », conseille Julien. Les domaines légitimes de Meta sont généralement `facebookmail.com` ou `support.facebook.com`. Si l’adresse se termine par `@gmail.com` ou un autre domaine suspect, c’est une fraude. En cas de doute, ne cliquez sur aucun lien et rendez-vous directement dans la section « Qualité du compte » de votre Business Manager pour vérifier s’il y a une alerte réelle.
Le risque vient aussi du client : quand une faille externe impacte l’agence
La dernière histoire est un avertissement pour toutes les agences et freelances. Une agence marketing bien protégée s’est fait pirater à cause d’une faille… chez l’un de ses clients.
L’effet domino d’un compte Instagram client mal sécurisé
Suite à une mauvaise gestion, le compte Facebook d’une employée de l’agence s’est retrouvé lié, via le Centre de Comptes Meta, au compte Instagram d’un client. Ce compte Instagram client a été piraté. En passant par ce compte, le pirate a pu attaquer et prendre le contrôle du compte Facebook de l’employée de l’agence. « À partir de ce moment-là, le fraudeur a eu accès à tous les comptes publicitaires des clients et toutes les pages Facebook de leur client », un véritable strike.
Cette histoire montre que la sécurité est une chaîne. « Si ton client d’un autre côté est mal protégé, il devient un risque pour lui-même, mais aussi pour toi ». Il est donc crucial pour une agence non seulement de se protéger, mais aussi d’éduquer et de s’assurer de la sécurité de ses clients.
Les bonnes pratiques pour une sécurité Facebook Ads renforcée
Pour conclure, Julien Test Arnois et Antoine Dalmas partagent quelques bonnes pratiques finales pour protéger votre Business Manager.
Utiliser la fonction « partenaire » pour une gestion saine des accès
Plutôt que d’ajouter des employés d’agence directement dans le Business Manager du client, il est préférable d’utiliser la fonction « Partenaire ». Cela permet à l’agence d’avoir accès aux ressources nécessaires (page, compte pub, pixel) tout en maintenant une séparation claire des environnements. En cas de problème d’un côté ou de l’autre, il suffit de couper le lien partenaire pour révoquer tous les accès d’un coup.
Surveiller l’historique de votre compte publicitaire
Antoine rappelle l’existence d’un outil souvent méconnu : l’historique des modifications. Dans le Ads Manager, une petite icône d’horloge sur la barre latérale droite vous montre toutes les actions effectuées sur une campagne, une audience ou une publicité, et par qui. C’est un excellent moyen de détecter une activité suspecte, comme une modification d’URL ou un changement de budget inattendu.
La cybersécurité n’est pas un sujet à remettre à plus tard. Comme le dit Julien, « on pense que c’est pas important. Jusqu’au jour où ça va être vous la victime et bah c’est là que si tu as rien fait avant, ça va faire mal ».
Questions fréquentes sur la sécurité des comptes facebook ads
Comment éviter de se faire hacker son compte Facebook ?
Pour éviter de se faire hacker, il faut adopter plusieurs bonnes pratiques : utilisez un gestionnaire de mots de passe, activez l’authentification à double facteur via une application, limitez les accès administrateur au strict minimum et soyez vigilant face aux tentatives de phishing par email ou Messenger.
« Si vous faites de la publicité sur Facebook Ads, il est fort probable que vous retrouviez un jour face à cette problématique, à savoir se faire hacker son compte. […] on va parler de hack et de comment éviter de se faire hacker son compte Facebook. »
Faut-il utiliser les SMS pour l’authentification à double facteur sur Facebook ?
Non, il est fortement déconseillé d’utiliser les SMS. Cette méthode est vulnérable et peut être contournée. Privilégiez toujours une application d’authentification comme Google Authenticator ou Microsoft Authenticator, qui est beaucoup plus sécurisée.
« Il l’avait fait avec une option de de SMS. Euh il y a eu une faille au niveau de de des des des textos et donc le fraudeur a réussi euh à rentrer. Alors que si tu avais activé le double facteur avec une application d’authentification […] là c’est beaucoup plus complexe de contourner. »
Comment savoir si un message Messenger de Meta est vrai ?
C’est simple : il est toujours faux. Meta ne vous contactera jamais de sa propre initiative via Messenger pour des questions de sécurité ou de violation de règles. Partez du principe que tout message de ce type est une tentative de phishing et supprimez-le.
« Tout ce qui est message sur Messenger, euh la meilleure protection, c’est à partir du principe que c’est faux. Donc c’est tu pars du principe que Facebook ne va jamais t’écrire sur Messenger. Donc tu vois un message, tu te dis ‘C’est faux’. »
Comment vérifier si un email de Facebook est officiel ?
Ne vous fiez pas au nom de l’expéditeur ou au design de l’email. Vérifiez toujours le domaine de l’adresse email de l’expéditeur (la partie après le @). Les domaines officiels sont généralement `facebookmail.com` ou `support.facebook.com`. Tout autre domaine est suspect.
« La meilleure manière de se protéger, c’est de regarder euh l’adresse courriel de l’expéditeur. […] dans le cadre de Meta, souvent les courriels utilisés, c’est facebookmail.com euh ou support.facebook.com. »
Que faire si mon compte publicitaire Facebook est bloqué après un hack ?
Si votre compte est bloqué, la première étape est de tenter de reprendre le contrôle en sécurisant votre profil Facebook et en contactant le support Meta. Si vous avez une balance de compte frauduleuse, vous devrez négocier avec Meta, ce qui peut être long et complexe. C’est pourquoi avoir un compte de backup est une stratégie judicieuse.
« Le problème c’est que tant que tu dépenses pas tant que tu règles pas le ce ce ce litige là ou que tu payes pas la somme, ben ton compte publicitaire est bloqué. Donc là de nouveau, même principe, tu peux plus faire de publicité. »
Pourquoi limiter les accès administrateur dans le Business Manager ?
Limiter les accès administrateur (ou « contrôle total ») applique le principe du moindre privilège. Cela réduit la surface d’attaque : si un compte non-admin est piraté, les dégâts seront limités. Un compte admin piraté peut en revanche entraîner la perte de contrôle de tous vos actifs.
« Quand tu as le contrôle total d’un business manager, tu peux te donner accès à n’importe quelle ressource […] mais tu peux aussi retirer n’importe quelle personne euh qui est admin. Donc au final, ben quand il y a une cyberattaque, […] les fraudeurs vont retirer tous les autres euh administrateurs. »
Est-ce une bonne idée de stocker les mots de passe dans un fichier Excel ?
Absolument pas. C’est l’une des pires pratiques en matière de sécurité. Un fichier Excel, même protégé par un mot de passe, n’est pas sécurisé et peut être facilement piraté. Utilisez un gestionnaire de mots de passe dédié pour stocker vos identifiants de manière chiffrée.
« Le la première erreur, c’est vraiment le fichier Excel, un fichier Google Sheet. Euh ce n’est pas un endroit où sauvegarder des mots de passe. Il faut absolument arrêter de faire ça, ce n’est pas du tout sécuritaire. »
Comment une agence peut-elle gérer les accès de ses clients en toute sécurité ?
La meilleure méthode est d’utiliser la fonction « Partenaire » du Business Manager. Cela permet à l’agence d’accéder aux ressources du client sans être directement intégrée à son environnement. Cela crée une séparation claire et permet de couper les accès facilement en cas de problème de sécurité d’un côté ou de l’autre.
« Dès que tu as une agence, dès que tu as un freelance, euh c’est bien que le client ait son environnement et que l’agence ait le sien. Donc du coup, au lieu de devoir des accès directs […] tu crées un lien partenaire, une fonction disponible sur le Business Manager. »
