La première chose que je dis désormais aux personnes qui gèrent leur visibilité en ligne tient en une phrase : arrêtez de taper « my business » dans la barre de recherche pour accéder à votre fiche d’établissement. Ce réflexe, des centaines de milliers de professionnels l’ont adopté sans y penser, et c’est précisément ce qui le rend dangereux. Depuis le 4 juin 2026, une publicité conçue pour ressembler à s’y méprendre à un service officiel se positionne sur cette requête et tente de récupérer les identifiants de connexion des comptes. Le mécanisme est d’une simplicité presque insultante : vous cherchez votre propre outil de travail, on vous tend une porte qui ressemble à la bonne, et vous y entrez vous même. Je veux écrire sur ce sujet non pas pour ajouter une alerte de plus à la pile, mais parce que cet épisode révèle un problème de fond que le métier refuse de regarder en face depuis des années.

Je vais être direct, parce que c’est ma façon de travailler. Le piège technique n’est pas le vrai sujet. Le vrai sujet, c’est que nous avons appris à toute une profession à confondre « chercher » et « se connecter ». Et tant que cette confusion durera, il y aura toujours quelqu’un pour l’exploiter.

Le problème n’est pas l’arnaque, c’est l’habitude qui la rend possible

Une attaque de ce type ne fonctionne que parce qu’un comportement de masse l’autorise. Réfléchissons une seconde au scénario. Une personne veut modifier les horaires de son établissement, répondre à un avis ou publier une actualité. Plutôt que de mémoriser l’adresse exacte de l’interface de gestion, elle ouvre Google et tape les deux mots qui, dans sa tête, mènent à destination. Le moteur lui répond, et tout en haut de la page apparaît un résultat sponsorisé qui porte les bons codes visuels. La couleur, la typographie, la formulation : tout est calibré pour ressentir la familiarité plutôt que pour la vérifier. Le clic part avant même que le cerveau ait posé la question « est ce vraiment officiel ? ».

Ce qui me frappe, c’est que personne dans cette chaîne ne commet de faute grossière. La victime n’est ni naïve ni négligente. Elle fait exactement ce qu’on lui a implicitement appris à faire : faire confiance au premier résultat, parce que pendant des années le premier résultat a été fiable. Les escrocs ne piratent pas un système informatique. Ils piratent une habitude collective, et c’est infiniment plus efficace.

J’ajoute une nuance que beaucoup oublient. Ce genre de publicité frauduleuse n’est pas un phénomène nouveau ni permanent. Elle apparaît, elle est signalée, elle disparaît, parfois en quelques heures. Mais entre le moment où elle est mise en ligne, souvent en pleine nuit, et le moment où elle est retirée, une fenêtre s’ouvre. Et dans cette fenêtre, chaque personne qui garde le réflexe de « chercher pour se connecter » devient une cible potentielle. La rareté de l’attaque ne console pas : elle endort. Comme c’est rare, on baisse la garde, et c’est exactement ce que recherche celui qui tend le piège.

Anatomie d’un piège bien construit, et pourquoi il marche

Le génie de cette escroquerie réside dans sa mise en scène, pas dans sa technique. Une fois le clic effectué sur le résultat sponsorisé, une fenêtre surgit. Elle imite une page d’authentification que tout le monde a vue mille fois. Les champs sont à leur place, le bouton est là, le logo aussi. Rien ne hurle au danger. La personne saisit son adresse, valide, et continue, persuadée d’être chez elle.

Il existe pourtant un détail qui aurait dû tout trahir, et que je trouve révélateur. Sur une vraie interface d’authentification, si vous saisissez une adresse qui n’existe pas, le système vous bloque dès l’étape suivante : il ne reconnaît pas le compte, donc il ne vous laisse pas avancer. Sur la fausse page, ce contrôle n’existe pas. Vous pouvez taper n’importe quelle adresse, même une totalement fantaisiste, le formulaire avance quand même. C’est le signe le plus net qu’on ne dialogue pas avec le service réel mais avec une copie qui se contente de récolter ce qu’on lui donne. Sauf que dans le feu de l’action, qui s’amuse à tester une adresse bidon pour vérifier que le formulaire la rejette ? Personne. On vient pour aller vite, pas pour auditer la page.

La suite est la partie la plus pernicieuse. À un moment du parcours, on demande à la victime de copier puis de coller un code, sous un prétexte qui paraît légitime. Cette manipulation, en apparence anodine, peut ouvrir un accès bien plus large que le seul compte visé : l’ordinateur, les fichiers, les mots de passe enregistrés. La personne croit franchir une étape de sécurité supplémentaire alors qu’elle vient, de sa propre main, de tendre les clés. Tout le scénario repose sur ce renversement : faire accomplir à la victime les gestes de sa propre compromission en lui donnant le sentiment de se protéger.

Je veux insister sur ce point parce qu’il change la nature de la menace. On ne parle pas d’un virus qui s’installe à votre insu. On parle d’une ingénierie de la confiance, où chaque action nuisible est volontairement accomplie par la cible, dans le calme, sans alerte, sans bruit. C’est ce qui rend ce type d’attaque si difficile à combattre par la seule technique.

Pourquoi je refuse de me défausser sur la plateforme

Il serait confortable de tout mettre sur le dos du système publicitaire, et ce serait une erreur d’analyse. Oui, on peut légitimement s’interroger sur la facilité avec laquelle une annonce malveillante se hisse au sommet d’une requête aussi sensible. Oui, la modération a posteriori arrive toujours trop tard pour les premières victimes. Ces critiques sont fondées et je les partage. Mais m’arrêter là serait paresseux, et surtout cela ne protégerait personne demain matin.

La vérité que je martèle sur le terrain, c’est que notre sécurité ne peut pas reposer sur la promesse qu’un tiers filtrera parfaitement chaque menace en temps réel. Ce filtrage n’existera jamais à cent pour cent, pour une raison simple : les attaquants s’adaptent plus vite que les règles. Compter sur une modération sans faille, c’est construire sa maison en espérant qu’il ne pleuvra jamais. La seule variable que je contrôle réellement, c’est mon propre comportement et celui des personnes que j’accompagne.

C’est là que je deviens intransigeant. La responsabilité partagée n’est pas une formule creuse. La plateforme doit faire son travail de nettoyage, c’est entendu. Mais l’utilisateur, lui, doit cesser de déléguer entièrement son discernement. Quand je vois des professionnels expérimentés, parfaitement compétents dans leur métier, taper mécaniquement deux mots et cliquer sur le premier lien venu pour accéder à un outil critique, je ne vois pas une faute morale. Je vois une formation collective ratée. Nous avons passé des années à optimiser la facilité d’accès sans jamais éduquer au geste sûr. Aujourd’hui la facture arrive.

Mon opinion, tranchée, est la suivante : tant que nous traiterons la sécurité comme une affaire de spécialistes et non comme une hygiène de base enseignée à tous, ces attaques continueront de prospérer. Le maillon faible n’est pas la personne, c’est l’absence d’un réflexe sain qu’on n’a jamais pris la peine de transmettre.

Le réflexe à graver, plus solide que n’importe quel outil

La parade ne coûte rien et ne dépend d’aucune technologie : on ne se connecte jamais à un outil critique en passant par un moteur de recherche. C’est tout. C’est la règle que je voudrais voir affichée au dessus de chaque poste de travail. Pour accéder à une interface de gestion sensible, on tape l’adresse directement, ou on utilise un signet enregistré une fois pour toutes, vérifié au moment de sa création. La recherche sert à découvrir, pas à s’authentifier. Confondre les deux usages, c’est ouvrir la porte.

Je vais plus loin, parce que je trouve qu’on se contente trop souvent de demi mesures. Premièrement, créez vos favoris une bonne fois, en partant des adresses officielles vérifiées, et n’utilisez plus jamais que ceux là. Deuxièmement, méfiez vous par principe de tout résultat sponsorisé qui propose une connexion : un service légitime n’a pas besoin d’acheter de la publicité pour que vous accédiez à votre propre compte. Troisièmement, activez une double authentification robuste, idéalement avec une clé physique ou une application dédiée, pour qu’un identifiant volé ne suffise jamais à lui seul. Quatrièmement, et c’est le point le plus humain, ralentissez. La plupart de ces pièges exploitent la vitesse. Trois secondes d’attention sur l’adresse affichée suffisent souvent à déjouer une mise en scène qui a demandé des heures de préparation à son auteur.

Je veux aussi parler de transmission. Si vous dirigez une équipe, ne gardez pas cette consigne pour vous. La personne la plus exposée n’est jamais celle qui lit des articles spécialisés, c’est celle qui gère un planning, répond aux clients et n’a jamais entendu parler de ces arnaques. La sécurité d’une structure se joue au niveau de son maillon le moins informé. Faire circuler une règle simple et mémorable protège bien plus efficacement que le meilleur des logiciels, parce qu’elle agit en amont, avant le clic.

Et si le doute s’installe, si vous pensez avoir saisi vos informations au mauvais endroit, n’attendez pas par honte ou par incertitude. Changez immédiatement votre mot de passe depuis une adresse vérifiée, vérifiez les accès et les appareils connectés, et coupez tout ce qui vous semble étranger. La rapidité de réaction fait souvent la différence entre un incident contenu et un compte définitivement perdu.

FAQ

Comment reconnaître une fausse page de connexion avant qu’il ne soit trop tard ?

Le signal le plus fiable reste l’adresse affichée dans la barre du navigateur, qu’il faut lire en entier et non survoler. Une vraie interface d’authentification rejette une adresse qui n’existe pas dès l’étape suivante ; une copie frauduleuse, elle, vous laisse avancer quoi que vous saisissiez. Autre alerte majeure : si on vous demande de copier puis de coller un code sous un prétexte de vérification, arrêtez tout. Ce geste n’a rien d’habituel et il sert souvent à ouvrir un accès bien plus large que prévu.

Pourquoi cette publicité piégée apparaît elle alors qu’elle est censée être interdite ?

Parce que la modération de ces annonces se fait surtout après leur mise en ligne, pas avant. Une publicité malveillante peut donc être active plusieurs heures, souvent diffusée la nuit, avant d’être repérée et retirée. Cette fenêtre temporelle suffit pour piéger les personnes qui gardent le réflexe de chercher leur outil au lieu d’y accéder directement. Compter uniquement sur le retrait par la plateforme revient à accepter d’être protégé toujours avec un temps de retard.

J’ai peut être saisi mes identifiants sur une fausse page, que faire en priorité ?

Agissez vite et dans l’ordre. Connectez vous au service concerné en tapant son adresse réelle, jamais via un lien reçu ou une publicité, puis changez immédiatement votre mot de passe. Vérifiez ensuite la liste des appareils et des accès connectés, et révoquez tout ce que vous ne reconnaissez pas. Activez une double authentification si ce n’était pas déjà fait. Enfin, si vous avez collé un code ou installé quoi que ce soit, considérez l’appareil comme potentiellement compromis et faites le examiner.

Ce qui me reste de cet épisode, ce n’est pas l’ingéniosité des escrocs, finalement assez banale, mais la facilité avec laquelle une habitude partagée par tant de monde s’est transformée en vulnérabilité collective. Nous avons construit un quotidien numérique fondé sur la commodité, et nous découvrons régulièrement que la commodité et la sécurité tirent souvent dans des directions opposées. Le piège du jour sera retiré, un autre prendra sa place sous une forme différente, et la question de fond restera la même : sommes nous prêts à remplacer un réflexe confortable par un geste un peu plus exigeant mais qui nous protège ? Je crois que la vraie résilience ne viendra pas d’un outil miracle ni d’une plateforme parfaite, mais d’une culture du doute raisonnable que nous devons enfin décider d’enseigner, à nous mêmes comme à ceux qui travaillent à nos côtés.