Chantage aux avis Google : comment les cybercriminels profitent de la lenteur de la plateforme
Les avis Google sont si importants pour la réputation des entreprises qu'ils deviennent une arme efficace pour les cybercriminels. Ceux-ci les utilisent pour extorquer de l'argent auprès de professionnels libéraux, petits commerçants ou artisans. Le procédé est à la fois simple et redoutable : ces cyberattaquants, souvent Bangladais ou Pakistanais, émettent de nombreux avis négatifs sur la fiche Google my business d'une cible. Ensuite, ils contactent la cible via Whatsapp pour lui proposer de supprimer ces avis contre une somme de 50 euros par avis environ.
"La première fois que j'ai été contacté par ces cybercriminels, c'était il y a environ trois mois. Depuis, ils m'ont contacté une dizaine de fois. C'est la mode en ce moment. Cela arrive tous les jours à des collègues plombiers, électriciens, chauffagistes…", affirme un plombier localisé en Dordogne, victime de cette arnaque. Après avoir été signalé aux Etats-Unis à l'été 2025, puis en Suisse, c'est désormais en France que ce phénomène prend de l'ampleur. "Ce n'est pas massif mais cela arrive de plus en plus", précisent deux experts de cybermalveillance.gouv.fr. Problème : Google tarde à réagir, selon le plombier.
"Google ne répond pas !"
"Entreprise catastrophique", "des rendez-vous plantés", "il n'est jamais venu au rendez-vous", "je n'aurais jamais dû l'appeler", "ils ont continué à reporter le rendez-vous", etc. Ces avis, souvent écrits dans un français approximatif et à l'aide de l'IA générative, sont des exemples de ceux que postent les attaquants sur les fiches Google de leurs victimes. Ils sont tous accompagnés d'une seule étoile sur cinq. "Quand cela vous arrive et que vous voyez tous ces avis négatifs se multiplier au bout d'une heure, cela fait peur ! Cela donne une mauvaise image de ma société. Le problème, aujourd'hui, c'est que la réputation d'une entreprise tient beaucoup à ces avis et notations Google. A cause de cela, la notation de mon entreprise est passée de 5 à 4,8 sur 5 car, petit à petit, les avis négatifs font leur effet", se lamente le plombier.
Face à ce déferlement d'avis mensongers, les victimes se retrouvent souvent désemparées : "Le problème de Google c'est qu'ils n'ont pas de numéro de téléphone à appeler directement pour demander la suppression de ces avis. On doit les avertir par message et ça peut être traité au bout de 15 ou 20 jours, un mois. Google envoie un lien grâce auquel on doit leur envoyer des preuves que ces avis sont abusifs. Parfois, Google ne répond même pas et ne traite pas les messages !". D'autres professionnels se plaignent de la lenteur de Google à réagir sur le forum de la plateforme. "Aucune action corrective n’a encore été prise malgré mes signalements précédents. Cette situation porte gravement atteinte à la réputation et à l’activité de mon entreprise. En laissant ces escrocs agir impunément, Google devient malgré lui complice de ces pratiques frauduleuses", s'exaspère l'un d'eux. Les cybercriminels profitent de cette lenteur pour convaincre la victime de payer, selon lui.
"Google fait en sorte d'essayer de détecter les campagnes de review bombing afin de supprimer les avis négatifs abusifs car cela porte préjudice à leur business. La plateforme utilise l'IA pour capter certains signaux comportementaux. Si un professionnel est visé par 150 avis négatifs dans la journée, alors cette IA va détecter qu'il s'agit de review bombing. Toutefois, Google ne traite pas les messages individuellement", précise Arnaud Lemaire, manager et ingénieur chez F5, une entreprise américaine de cybersécurité. Et c'est là que le bât blesse : "il est possible que leur mécanisme ne soit pas capable de différencier des attaques de review bombing automatisées, qu'il repère, des attaques effectuées manuellement comme celles des cybercriminels". Cela expliquerait, selon lui, pourquoi Google agit lentement face à ce nouveau fléau.
Comment riposter ?
Face à cette cyberattaque, "porter plainte ne sert à rien", affirme le plombier. Alexandra Iteanu, avocate spécialisée en droit de la cybersécurité, confirme : "Dans ce genre de cas, porter plainte est très long. Puis il faut alors que la victime porte plainte à la fois contre Google et les attaquants situés au Pakistan et au Bangladesh. Autant dire qu'il y a très peu de chances que la plainte pénale aboutisse".
Comment la victime peut-elle donc agir ? La première étape est d'avertir la plateforme : "La victime doit signaler le contenu illicite à Google, sachant que la plateforme est obligée de le retirer quand elle en a connaissance. Sinon sa responsabilité peut être engagée". Et quand Google tarde à supprimer les faux avis négatifs, ou refuse de les retirer, alors "la victime peut porter l'affaire devant le juge judiciaire. Elle doit prouver que ces avis sont injurieux, diffamatoires et donc que leur non suppression ne respecte pas le Règlement général de la protection des données. Il faut aussi qu'elle prouve que Google avait connaissance de ces avis, d'où l'importance de lui notifier".
En outre, quand la fiche Google my business a été créée sans le consentement du professionnel, et que celui-ci est la cible d'avis négatifs, alors il peut assigner Google devant le juge judiciaire pour demander sa suppression, rappelle l'avocate. C'est ce qu'a confirmé un arrêt du 22 mai 2025 de la Cour d'appel de Chambéry et qui opposait Google à une dentiste. Celle-ci a même bénéficié d'une réparation d'un préjudice moral d'un montant de 10 000 euros.
Bien qu'elle répare financièrement un préjudice subi, cette procédure civile peut néanmoins durer des années. Si la victime souhaite mettre un terme rapidement à l'atteinte à la réputation que provoque une telle attaque, "elle peut alors saisir le juge civil des référés. Celui-ci doit statuer dans le mois qui suit sa saisine. Elle doit alors prouver qu'un dommage imminent la touche. Dans cette procédure, le juge peut demander la suppression du contenu litigieux. Il arrive d'obtenir des suppressions rapides de contenus grâce à cette procédure d'urgence. Toutefois, les plateformes comme Google complexifient généralement le dossier pour que le juge des référés ait peur de statuer dans l'urgence et renvoie donc l'affaire au juge du fond."