AppSheet : 30 000 comptes Facebook volés via Google

Ce qui s'est passé

Les chercheurs de Guardio Labs ont rendu publique le 1er mai 2026 une analyse détaillée d'une vaste campagne de phishing qui détourne Google AppSheet, la plateforme no-code du géant de Mountain View, pour relayer des courriels frauduleux à destination des gestionnaires de pages Facebook Business. La campagne, codenommée AccountDumpling, aurait compromis environ 30 000 comptes en quelques semaines, avec une concentration particulière sur les États-Unis qui représentent 68,6 % des victimes identifiées.

Le scénario d'amorçage est volontairement classique : la victime reçoit un courriel se présentant comme une notification officielle de Meta Support, lui annonçant que sa page sera supprimée pour violation des politiques de la plateforme et l'invitant à déposer un appel via un lien cliquable. La sophistication réside dans l'origine du message : il est expédié depuis l'adresse noreply@appsheet.com, un émetteur légitime de Google que la majorité des passerelles SMTP, des solutions Microsoft Defender for Office 365, des Secure Email Gateway de Mimecast ou Proofpoint, et même des règles SPF, DKIM et DMARC traitent comme un correspondant de confiance.

Le lien cliqué redirige la victime vers l'un des quatre clusters d'infrastructure identifiés par Guardio. Le premier repose sur de fausses pages Facebook Help Center hébergées sur Netlify, qui demandent successivement les identifiants de connexion, le code de vérification à deux facteurs, la date de naissance et, dans certains cas, une photographie d'une pièce d'identité officielle. Les autres clusters s'appuient sur Vercel, Canva ou Adobe Express pour héberger des pages d'apparat, et utilisent Google Drive pour stocker des PDF de phishing relayés depuis l'AppSheet initial. Cette diversité d'infrastructures rend les blocages domain-based largement inefficaces : à chaque takedown, l'opération bascule en quelques heures vers un nouvel hébergeur SaaS de confiance.

L'exfiltration constitue la signature la plus distinctive du dispositif. Les opérateurs n'utilisent ni serveur de commande et de contrôle classique, ni infrastructure dédiée : tout transite par des bots Telegram qui acheminent identifiants, codes 2FA, dates de naissance et photographies de pièces d'identité vers des canaux privés. Les analystes de Guardio ont pu identifier ces canaux et observer en direct des panneaux opérateurs où plusieurs dizaines de membres surveillent les flux entrants, valident la qualité des données volées, déclenchent les prises de contrôle de comptes dans la foulée et marquent les victimes éligibles à la revente.

La monétisation passe par une storefront illicite gérée par les acteurs eux-mêmes, qui revend les comptes volés en libre-service à d'autres cybercriminels. D'après Guardio, certains comptes Facebook Business compromis présentant un historique publicitaire conséquent se négocient entre 50 et 200 dollars selon le volume de dépenses passées, leur ancienneté et leur capacité à diffuser des annonces sans déclencher de revue manuelle. Les acquéreurs s'en servent pour propager des arnaques à l'investissement, des deepfakes promotionnels, des campagnes d'usurpation de marque ou pour monétiser des tunnels de fraude affilée.

Selon The Hacker News, qui a relayé l'enquête de Guardio, les indices techniques pointent vers un opérateur vietnamophone, une attribution corroborée par des chaînes de caractères en vietnamien retrouvées dans certains panneaux d'administration et par des heures d'activité corrélées au fuseau horaire Indochina Time. Cette attribution s'inscrit dans une tendance documentée depuis 2024 par plusieurs CERT européens et par les rapports annuels de Mandiant, qui recensent plusieurs collectifs vietnamiens spécialisés dans le détournement de comptes publicitaires Facebook et la revente sur des marchés alternatifs à Telegram.

Google a confirmé à plusieurs médias spécialisés avoir engagé des mesures de mitigation côté AppSheet, notamment un renforcement des contrôles applicatifs sur les flux d'envoi de courriels automatisés générés par les applications no-code. Toutefois, le mécanisme exploité, l'envoi sortant via un domaine légitime de Google, demeure une fonctionnalité native de la plateforme qui ne peut être désactivée sans casser l'expérience utilisateur de millions d'applications professionnelles légitimes.

Meta, de son côté, a indiqué travailler à l'identification des comptes compromis et à leur restauration auprès des propriétaires légitimes. La plateforme rappelle que ses communications officielles ne demandent jamais la photo d'une pièce d'identité par courriel, et qu'aucun lien de recours n'est envoyé depuis un domaine tiers. Le CERT-FR n'a pas encore publié d'avis dédié, mais des publications similaires sont attendues compte tenu du volume d'entreprises françaises qui gèrent des pages Facebook Business à des fins commerciales.

Pourquoi c'est important

L'affaire AccountDumpling matérialise une bascule structurelle du phishing : l'abus de plateformes SaaS de confiance comme vecteur de livraison primaire. Pendant deux décennies, la posture défensive reposait largement sur la réputation des domaines émetteurs, le filtrage par catégories d'URL et la corrélation des flux SMTP suspects. Lorsque l'expéditeur est noreply@appsheet.com, que les pages d'atterrissage sont hébergées sur netlify.app ou vercel.app, et que l'exfiltration passe par api.telegram.org, l'ensemble de la chaîne d'attaque traverse des infrastructures que les entreprises whitelisten pour des raisons opérationnelles évidentes. Bloquer ces domaines casserait des dizaines d'usages métiers légitimes : automatisation no-code, déploiement d'applications front-end, notifications de chatbots internes.

Le précédent le plus comparable date de 2023-2024, lorsque les campagnes Storm-1811 puis Black Basta avaient utilisé Microsoft Teams et Quick Assist pour livrer leurs charges. La réponse de Microsoft avait pris plusieurs mois et impliqué des modifications profondes de la posture par défaut de Teams. AppSheet et les plateformes no-code soulèvent un défi analogue, mais à plus grande échelle puisque ces outils sont, par construction, conçus pour permettre à des utilisateurs non techniques d'envoyer des communications automatisées à des contacts externes. Le détournement n'est pas un bug, c'est une fonctionnalité métier dévoyée.

Pour les entreprises françaises, l'enjeu dépasse la simple perte d'un compte publicitaire. Une page Facebook Business compromise donne à l'attaquant un accès privilégié au Business Manager, à la facturation, à l'API Marketing, aux pixels de tracking déployés sur les sites web de l'entreprise, et parfois à des intégrations CRM via Conversion API. Pour un e-commerçant qui dépense plusieurs dizaines de milliers d'euros mensuels en publicité Meta, la prise de contrôle peut entraîner non seulement le détournement du budget en quelques heures, mais aussi des sanctions Meta pour activité frauduleuse qui peuvent geler l'ensemble du compte publicitaire pendant des semaines, avec un impact direct sur le chiffre d'affaires.

Du point de vue conformité, la collecte de photographies de pièces d'identité par les pages de phishing soulève également des questions au regard du RGPD. Les victimes qui ont transmis leur passeport ou leur carte d'identité s'exposent à un risque d'usurpation d'identité durable, et les entreprises dont des collaborateurs ont été compromis peuvent se retrouver à devoir notifier la CNIL d'une violation de données indirecte si les pièces d'identité d'employés transitent dans la chaîne d'attaque. La coordination entre l'équipe SOC, le DPO et la direction marketing devient une question opérationnelle de premier ordre.

Ce qu'il faut retenir

• Sensibiliser explicitement les équipes marketing et community management : aucune communication officielle de Meta n'arrive depuis un domaine tiers et ne demande la photo d'une pièce d'identité par courriel.
• Activer la double authentification matérielle (clé FIDO2) sur tous les administrateurs de Business Manager, plutôt que des codes SMS ou TOTP qui se phishent en temps réel via les bots Telegram décrits dans cette campagne.
• Auditer les règles de filtrage de courriels pour requalifier les expéditeurs no-code (AppSheet, Power Automate, Zapier) en flux à risque modéré, avec analyse approfondie des liens contenus et bannière d'avertissement automatique.