Piratage MCC : comprendre, réagir et protéger votre compte administrateur Google Ads 🛡️
Le piratage MCC est devenu l’un des scénarios les plus redoutés par les agences et les annonceurs gérant des portefeuilles Google Ads. En quelques minutes, des cybercriminels peuvent s’emparer d’un compte administrateur (Manager Account), expulser les utilisateurs légitimes, modifier les paramètres de facturation, créer des campagnes frauduleuses ou tenter des transactions massives. Ce guide complet vous explique comment se déroule typiquement une attaque, comment y répondre heure par heure, et quelles mesures mettre en place pour prévenir un nouveau piratage MCC. 🎯
Objectif de cet article
Vous fournir un plan clair, opérationnel et applicable immédiatement : comprendre le mode opératoire des attaquants, verrouiller votre environnement Google Ads, récupérer l’accès en cas d’incident, et instaurer une sécurité de niveau agence avec des contrôles préventifs, détectifs et correctifs.
Qu’est-ce qu’un compte MCC et pourquoi il attire les pirates 🤔
Définition rapide du MCC
Le compte administrateur Google Ads (ex-MCC, pour « My Client Center ») est une surcouche qui permet de gérer plusieurs comptes clients depuis un seul tableau de bord. Il donne accès aux campagnes, aux budgets, aux méthodes de paiement, aux utilisateurs et aux liaisons inter-comptes. En d’autres termes : c’est la clé du coffre de votre portefeuille média. 🔑
Pourquoi le piratage MCC est si lucratif
Un piratage MCC offre aux attaquants un effet de levier exceptionnel : un point d’entrée unique pour impacter potentiellement des dizaines, voire des centaines de comptes Google Ads. Les motivations courantes : détourner des budgets, tester des cartes volées, injecter des campagnes de malvertising (par exemple pour des sites contrefaits), ou préparer de nouvelles escroqueries en se faisant passer pour l’agence auprès des clients. Le risque financier et réputationnel est majeur.
Comment un piratage MCC se déroule généralement 🕵️
1) Le point d’entrée
La plupart des compromissions démarrent par une faille d’identité : un mot de passe réutilisé récupéré dans une fuite, un hameçonnage (phishing) bien ficelé, une application OAuth malveillante qui obtient des autorisations trop larges, ou un appareil compromis. L’attaquant vise en priorité un utilisateur avec droits élevés (administrateur du MCC, propriétaire de la facturation ou détenteur de l’accès au domaine autorisé).
2) Prise de contrôle et persistance
Une fois connecté, l’attaquant cherche à durer. Les techniques courantes : ajouter son propre facteur 2FA (app, clé ou numéro de secours), définir un e-mail de récupération, accorder des accès à plusieurs comptes Gmail jetables, élargir le paramètre « domaines autorisés » pour inviter librement d’autres adresses, ou créer un manager secondaire « miroir » pour y relier des comptes clients et rebondir si vous récupérez l’accès initial.
3) Actions malveillantes typiques
Le pirate peut : supprimer des utilisateurs légitimes, modifier les rôles, changer les méthodes de paiement et plafonds, créer de nouvelles campagnes et actifs (y compris P_MAX), désactiver des alertes, ou initier des tentatives de facturation inhabituelles. Parfois, il ne lance pas d’annonces mais tente des opérations de paiement test pour valider une carte ou un profil de facturation. Dans d’autres cas, il bascule brutalement des budgets vers des campagnes frauduleuses ciblant des mots-clés sensibles (marques, finance, tech) pour monétiser au plus vite.
4) Signaux d’alerte à repérer tôt
Des e-mails inattendus « Nouvel utilisateur ajouté », « Modification de la méthode de paiement », un changement soudain de performance, des dépenses qui explosent pendant la nuit/week-end, des demandes d’invitation à un nouveau manager « officiel », ou des refus d’accès pour des administrateurs habituels. Tout comportement anormal doit déclencher une vérification immédiate. 🚨
Réagir à un piratage MCC : plan d’action heure par heure ⏱️
0–60 minutes : contenir l’incident
1) Isoler l’identité compromise : changez immédiatement le mot de passe du compte affecté, révoquez toutes les sessions et tokens OAuth (depuis le centre de sécurité Google/Workspace si applicable), et forcez la réinitialisation 2SV. Priorité absolue aux comptes administrateurs du MCC et aux propriétaires de facturation. 🔐
2) Bloquer la sortie d’argent : mettez en pause la facturation si possible, retirez/figez les cartes depuis les comptes bancaires (opposer la carte), et contactez le support Google Ads pour signaler une activité non autorisée. Documentez chaque étape (horodatage, e-mails, captures d’écran, IDs de compte). 💳
3) Couper les vecteurs secondaires : désactivez temporairement les scripts Google Ads, révoquez les accès API/applications tierces non essentielles, et déconnectez les intégrations à risque (ex. outils de gestion automatisée) le temps de l’audit.
1–4 heures : reprendre le contrôle
4) Récupérer l’accès MCC : si vous avez été expulsé, ouvrez un ticket urgent via le chat/centre d’aide Google Ads. Préparez : ID du MCC, IDs des comptes clients critiques, noms de domaine vérifiés, profils de facturation, dernières factures, 4 derniers chiffres des cartes et preuves d’identité de l’entreprise. L’objectif : rétablir un propriétaire légitime, annuler les ajouts d’utilisateurs suspects et verrouiller le paramètre « domaines autorisés ». 🧩
5) Vérifier l’intégrité des rôles : dans « Accès et sécurité », passez en revue chaque utilisateur, rôle et remarque. Supprimez immédiatement tout compte inconnu, rétrogradez les rôles exagérés et regénérez les invitations uniquement vers des e-mails d’entreprise. Activez l’obligation « domaine d’entreprise uniquement » si ce n’est pas déjà fait.
6) Geler l’activité publicitaire : mettez en pause les campagnes récemment créées ou modifiées, désactivez les stratégies d’enchères et budgets touchés, et basculez en observation les signaux/segments ajoutés par l’attaquant.
4–12 heures : nettoyer et auditer
7) Audit de la facturation : examinez les méthodes de paiement, profils de facturation, seuils, adresses et TVA. Retirez toute carte inconnue. Ouvrez des demandes officielles de remboursement/contestation auprès de Google Ads pour « activité non autorisée » et contactez votre banque pour engager la procédure (chargeback si nécessaire). 📄
8) Audit du journal des modifications : dans l’Historique des modifications, filtrez par « Utilisateurs », « Facturation », « Campagnes/actifs », « Règles », « Scripts/API ». Notez les timestamps et adresses impliquées. Cette chronologie servira pour l’enquête interne, la communication client et, si besoin, l’assurance cyber.
9) Contrôle des liaisons : vérifiez les liens manager ↔ clients, la Search Console, Analytics/GA4, et toute liaison import/conversion. Supprimez les managers inconnus et révoquez les autorisations d’import. Les pirates créent parfois un manager « miroir » pour siphonner les accès plus tard.
Procédure de remédiation approfondie après un piratage MCC 🧹
Reprise en main des identités
– Imposer la vérification en deux étapes (2SV) forte : clés de sécurité FIDO2/Passkeys pour tous les administrateurs MCC. Évitez le SMS seul (vulnérable au SIM swap). 🗝️
– Activer le SSO (Workspace/IdP) avec politiques contextuelles : blocage par pays, par adresse IP, par appareil managé, et authentification adaptative.
– Mettre en place un compte « break-glass » (secours) : e-mail distinct, clé physique stockée hors ligne, usage strictement réservé à l’urgence.
– Rotation des mots de passe et révocation globale des sessions pour tous les utilisateurs du MCC. Imposez un gestionnaire de mots de passe et la non-réutilisation inter-services.
Hygiène du MCC et des sous-comptes
– Paramètre « Domaines autorisés » : restreindre aux seuls domaines de l’entreprise. Interdisez les adresses gratuites (Gmail, etc.) pour les rôles sensibles.
– Principe du moindre privilège : attribuez des rôles au plus juste et révisez trimestriellement les accès. Documentez qui peut modifier la facturation ou inviter des utilisateurs.
– Double validation pour la facturation : process interne exigeant un second regard avant tout ajout/remplacement de carte ou création de profil.
– Segmentation des accès : si vous êtes une agence multimarques, scindez les équipes et les droits par portefeuille, et évitez qu’un seul compte admin possède tout.
Facturation et conformité
– Vérification complète des profils de paiement, des adresses et du nom légal de l’entité. Supprimez les profils ou contacts suspects. 💼
– Centralisez les justificatifs (factures, échanges support, relevés bancaires). Ouvrez un ticket dédié « activité non autorisée » par entité de facturation impactée.
– En cas de données personnelles potentiellement exposées (ex. coordonnées de facturation de vos clients), évaluez l’obligation de notification RGPD/autorité compétente.
Campagnes, audiences et actifs
– Campagnes : mettez en pause tout ce qui a été créé récemment si vous n’êtes pas à l’origine. Vérifiez stratégies d’enchères, budgets, ciblages, pays, langues et exclusions de placement. 🧭
– Actifs : inspectez textes, URLs finales, URL de suivi, extensions (liens annexes, promotions), et ressources P_MAX. Supprimez toute ressource inconnue.
– Conversions : assurez-vous que les conversions importées n’ont pas été modifiées (valeurs, fenêtres d’attribution, inclusion dans la stratégie d’enchères). Vérifiez également les balises et comptes GA4 liés.
API, scripts et applications tierces
– Révoquer et ré-authentifier : annulez tous les tokens OAuth et reconnectez uniquement les outils indispensables avec le périmètre minimal.
– Scripts Google Ads : auditez le code, les exécutions planifiées et les autorisations. Désactivez tout script inconnu ou récemment ajouté.
– Journaux et alertes : mettez en place des logs centralisés (ex. exports quotidiens des changements) et créez des alertes en cas d’ajout d’utilisateur, de modification de facturation, de pic de dépenses ou de création de campagne hors heures ouvrées.
Prévenir durablement un piratage MCC 🔒
1) Renforcer l’identité
– 2SV obligatoire avec clé matérielle/Passkey pour tous les rôles d’édition et d’admin.
– SSO via un fournisseur d’identité avec politiques de contexte : exigez des appareils managés et chiffrez les postes (EDR, mises à jour automatiques, pare-feu activé). 🖥️
– Formation anti-phishing continue : simulations trimestrielles, signalement en 1 clic des e-mails suspects, et revues post-incident.
2) Durcir Google Ads
– Domaines autorisés stricts : ne laissez pas de joker. Revoyez ce paramètre après toute rotation d’équipe.
– Vérification et étiquetage des accès : tenez un registre des utilisateurs et de leur raison d’accès. Désactivez toute session inactive de plus de 90 jours.
– Validation à deux niveaux pour la facturation et pour la création/lien d’un nouveau manager. 🧷
3) Détection précoce
– Alertes e-mail/SMS/Slack en temps réel : dépenses journalières anormales, nouveaux utilisateurs ajoutés, modification de méthodes de paiement, création de campagne hors créneau défini.
– Rapports automatisés : export quotidien de l’historique des modifications et surveillance des KPIs anormaux (CTR, CPC, zones géo, langue).
– Playbooks testés : exercices de type « table-top » deux fois par an pour simuler un piratage MCC et chronométrer votre temps de réponse. ⏲️
4) Gouvernance et responsabilité
– Propriétaire de la sécurité MCC désigné (RACI), avec suppléant. Objectifs mesurables : délai de détection, de containment et de restauration.
– Clause de sécurité dans les contrats client : protocoles d’escalade, continuité de service, et répartition des obligations en cas d’incident. 📜
– Assurance cyber : vérifier la couverture (fraude publicitaire, frais d’expertise, notification, pertes d’exploitation).
Communication en cas de piratage MCC 📣
Informer vite et bien
– Transparence : avertissez les clients concernés dès la détection d’un risque avéré. Précisez l’étendue, les actions entreprises et le plan de remédiation. Rassurez sur les mesures préventives renforcées.
– Canal officiel unique : e-mail depuis un domaine vérifié et, idéalement, relais via le portail client. Interdisez toute communication opérationnelle via des adresses personnelles. 🔏
– Mise à jour régulière : envoyez des points d’étape (J+1, J+3, J+7) et un post-mortem clair une fois l’incident clos, avec les enseignements et actions correctives.
Étude de cas synthétique : scénario courant de piratage MCC 🧪
Ce qui peut se passer en 6 heures
01 h 12 : un administrateur clique sur un e-mail d’hameçonnage imitant Google. L’attaquant récupère l’accès et ajoute sa propre application 2FA. 01 h 25 : il élargit les domaines autorisés, invite quatre adresses Gmail et supprime deux utilisateurs légitimes. 02 h 10 : création d’un manager secondaire portant un nom semblable à l’agence. 03 h 00 : ajout d’une carte virtuelle et tentative de facturation test. 05 h 48 : lancement de deux campagnes à budget élevé sur des mots-clés marque. 06 h 00 : les alertes de dépenses déclenchent la réponse d’urgence, récupération de l’accès via le support, gel de la facturation et nettoyage.
Leçons : les attaquants cherchent la persistance rapidement (2FA secondaire, nouveaux utilisateurs), multiplient les chemins de repli (manager miroir) et testent la facturation avant l’escalade. Les alertes précoces et un protocole bien rodé font la différence entre quelques centaines et plusieurs dizaines de milliers d’euros de pertes. 💡
FAQ express sur le piratage MCC ❓
Le 2FA suffit-il à stopper un piratage MCC ?
Indispensable mais pas suffisant : privilégiez la 2SV forte (clés FIDO2/Passkeys). Un 2FA par SMS peut être contourné (SIM swap). Combinez 2SV + SSO + politiques contextuelles + appareils managés.
Peut-on récupérer les fonds dépensés par un pirate ?
Google peut rembourser en cas d’activité non autorisée constatée, mais chaque cas est évalué. Agissez vite : ouvrez des tickets documentés, contactez votre banque pour des oppositions/chargebacks et conservez toutes les preuves.
Faut-il créer un nouveau MCC après une compromission ?
Pas forcément. Si vous pouvez garantir l’assainissement complet (identités, accès, facturation, liaisons), le MCC existant peut être sécurisé. Cependant, si la compromission est profonde et récurrente, la création d’un nouveau manager avec une gouvernance durcie peut s’envisager, suivie d’un plan de migration contrôlé.
Comment détecter rapidement un piratage MCC la nuit ou le week-end ?
Mettez en place des alertes de dépenses, de création d’utilisateur et de modification de facturation, envoyées vers des canaux de garde (SMS/Slack/On-call). Définissez un seuil d’alerte bas la nuit et un protocole d’escalade.
Checklist opérationnelle anti–piratage MCC ✅
À faire cette semaine
• Activer 2SV par clé physique pour tous les admins du MCC. • Restreindre les domaines autorisés aux seuls e-mails d’entreprise. • Mettre en place des alertes pour tout ajout d’utilisateur, modification de facturation et pic de dépenses. • Auditer et révoquer les tokens OAuth/apps non utilisés. • Documenter un playbook de réponse (contacts, étapes, modèles d’e-mails).
À mettre en place ce mois-ci
• Basculer vers le SSO avec politiques contextuelles. • Segmenter les droits par portefeuille client. • Introduire une double validation interne pour toute modification de facturation. • Organiser une simulation de crise (table-top) et chronométrer le MTTR. • Vérifier l’assurance cyber et les clauses contractuelles avec les clients.
Conclusion : faire du piratage MCC un risque maîtrisé, pas une fatalité 🌟
Le piratage MCC n’est pas une fatalité si vous combinez prévention, détection et réponse. Traitez le manager Google Ads comme un système critique : identité durcie, gouvernance stricte, monitoring en continu et procédures d’urgence testées. En cas d’incident, la priorité est de contenir, récupérer l’accès et assainir méthodiquement l’environnement tout en communiquant avec transparence. Avec ces réflexes et un cadre de sécurité robuste, vous protégez vos budgets, votre réputation et la confiance de vos clients. 💪
Dernier conseil : nommez un responsable sécurité MCC, fixez des objectifs de délai de détection et de remédiation, et revoyez trimestriellement votre posture. La menace évolue, vos défenses aussi. Et si vous n’avez pas encore mis en place de clés de sécurité et d’alertes de dépenses, c’est aujourd’hui qu’il faut commencer. 🔔
