Sextorsion « Pegasus » par e‑mail : usurpation d’adresse et faux piratage Microsoft — que faire et comment se protéger

Reçu un e‑mail affirmant que « Pegasus » a piraté votre compte Microsoft ? Respirez : c’est une sextorsion avec usurpation d’adresse. Voici comment reconnaître l’arnaque, quoi faire immédiatement et comment sécuriser durablement vos comptes et appareils.

Menace « Pegasus » : faux piratage et sextorsion

Problème posé

De nombreux utilisateurs reçoivent un courriel prétendument envoyé depuis leur propre adresse. Le message annonce que leur compte Microsoft serait infecté par le spyware « Pegasus », menace de diffuser des photos/vidéos intimes à tous leurs contacts et exige une rançon (souvent en cryptomonnaie, p. ex. Litecoin) sous 48 h.

Analyse

• Sextorsion classique : ces e‑mails sont envoyés en masse. Le pseudo‑pirate n’a aucune preuve ni contenu compromettant ; la pression psychologique (compte à rebours, ton agressif) vise à provoquer un paiement immédiat.
• Usurpation d’adresse (spoofing) : l’expéditeur falsifie le champ « From » pour faire croire que le message provient de votre adresse. Cela n’implique aucun accès réel à votre boîte.
• Référence abusive à « Pegasus » : Pegasus est un spyware onéreux, utilisé dans des opérations ciblées contre des personnalités à haut risque, pas dans des spams génériques.

Que faire immédiatement : la procédure express

1. Ne payez pas, ne répondez pas, ne cliquez pas sur les liens et n’ouvrez aucune pièce jointe.
2. Signalez le message (Outlook.com/Hotmail : Courrier indésirable ▸ Hameçonnage ; autres clients : déplacez en Spam ou Signaler comme phishing).
3. Vérifiez l’activité de votre compte Microsoft (section Sécurité ▸ Activité récente) pour repérer d’éventuelles connexions inconnues.
4. Renforcez la sécurité : changez le mot de passe, activez la vérification en deux étapes (MFA), révoquez/retirez les appareils de confiance inutiles.
5. Analysez vos appareils avec Windows Defender ou un antivirus réputé, pour confirmer qu’aucun logiciel malveillant n’est installé.
6. Ignorez la menace : aucune fuite n’est observée après coup chez les victimes qui ont tout simplement ignoré et sécurisé.

Signes qui trahissent l’arnaque

Signe	Pourquoi c’est suspect	Action recommandée
Expéditeur = votre propre adresse	Le champ « From » est falsifiable ; l’e‑mail peut paraître « envoyé par vous » sans accès à votre boîte.	Vérifier les en‑têtes complets ; ne pas paniquer.
Compte à rebours (24‑48 h)	Technique d’intimidation classique des sextorsions.	Ignorer la deadline ; appliquer la procédure de sécurité.
Demande de cryptomonnaie (Bitcoin/Litecoin)	Paiement intraçable, typique des scams.	Ne jamais payer ; signaler le message.
Référence à « Pegasus »	Nom « vendeur » utilisé pour effrayer ; incohérent avec un spam de masse.	Traiter comme une arnaque, pas comme une compromission zéro‑day.
Menace de diffuser vos contacts	Le spammeur n’a généralement pas accès à vos contacts ni à vos fichiers.	Vérifier tout de même l’activité du compte et activer MFA.

Pourquoi l’expéditeur semble‑t‑il être « vous » ? (spoofing en bref)

Le protocole e‑mail historique (SMTP) n’exige pas d’authentification de l’adresse d’expéditeur. Trois mécanismes aident à contrer l’usurpation :

• SPF : liste des serveurs autorisés à envoyer pour un domaine.
• DKIM : signature cryptographique du message par le domaine d’envoi.
• DMARC : politique du domaine (rejeter/quarantainer/aucune action) si SPF/DKIM ne valident pas et si l’alignement échoue.

Un spammer peut quand même afficher votre adresse dans « From » si votre domaine n’impose pas un DMARC: reject, si l’e‑mail est routé via un service « ouvert », ou si la boîte du destinataire ne vérifie pas strictement l’alignement. Conclusion : voir votre adresse dans « From » n’est pas une preuve d’accès à votre messagerie.

Comment consulter les en‑têtes complets dans Outlook

• Outlook pour le Web : ouvrez le message ▸ … (Plus d’actions) ▸ Afficher les détails du message ou Afficher la source.
• Outlook (bureau) : double‑cliquez sur l’e‑mail ▸ Fichier ▸ Propriétés ▸ zone En‑têtes Internet.

Indices courants de spoofing : Authentication-Results: spf=fail, dkim=none ou dmarc=fail, Return-Path différent de « From », Received montrant un relais incohérent.

Vérifier que votre compte Microsoft n’a pas été compromis

1. Ouvrez la page de votre compte Microsoft ▸ Sécurité ▸ Activité récente.
2. Contrôlez : dates/heures, adresses IP, emplacements, appareils (Windows, iOS, Android), résultats d’authentification.
3. Si vous voyez une connexion inconnue : sécurisez immédiatement (mot de passe + MFA), déconnectez toutes les sessions et révoquez les appareils de confiance.

Checklist de sécurité Microsoft

Réglage	Où regarder	Ce qu’il faut faire
Mot de passe	Compte Microsoft ▸ Sécurité	Choisir un mot de passe unique, long (passphrase), jamais réutilisé.
MFA (vérification en deux étapes)	Options de sécurité avancées	Activer Microsoft Authenticator ou une clé de sécurité FIDO2 ; générer des codes de secours.
Appareils de confiance	Appareils ▸ Gérer	Retirer ceux que vous n’utilisez plus.
Règles de boîte de réception	Outlook ▸ Paramètres ▸ Règles	Supprimer toute règle suspecte (transfert, suppression automatique).
Transfert/Redirection	Outlook ▸ Courrier ▸ Transfert	Désactiver tout transfert externe non voulu.
Accès d’applications	Compte ▸ Sécurité ▸ Applications & services	Révoquer les applications inconnues ou inutiles.

Renforcer vos mots de passe (et arrêter d’en souffrir)

• Passphrase : assemblez 4‑5 mots aléatoires, faciles à mémoriser, séparés par des tirets. Exemple : banquise‑orchestre‑verger‑galaxie.
• Gestionnaire de mots de passe : laissez‑lui générer et stocker des secrets uniques pour chaque site.
• Éviter : réutilisation entre comptes, suites logiques (Azerty123), dates de naissance, prénoms, le clavier en diagonale.

Activer la MFA intelligemment

La vérification en deux étapes bloque l’immense majorité des prises de contrôle. Recommandations :

1. Privilégier une appli d’authentification (Microsoft Authenticator) ou une clé FIDO2 plutôt que le SMS.
2. Générer et imprimer des codes de secours (à conserver hors ligne).
3. Ajouter au moins deux méthodes (ex. appli + clé) pour éviter le verrouillage si vous perdez votre téléphone.

Analyse de l’appareil : Windows Defender pas à pas

1. Ouvrez Sécurité Windows ▸ Protection contre les virus et menaces.
2. Lancez une analyse hors ligne si vous avez le moindre doute.
3. Activez Protection en temps réel, Protection dans le cloud et considérez Contrôle d’accès aux dossiers (protection anti‑ransomware).
4. Maintenez Windows, vos navigateurs et extensions à jour.

Sur mobile, tenez le système à jour, évitez le sideloading et installez uniquement des applications de confiance. Un antivirus mobile peut rassurer, mais l’arnaque décrite est avant tout un canular par e‑mail.

« Et si l’e‑mail cite un de mes anciens mots de passe ? »

Certains escrocs ajoutent un mot de passe réel récupéré d’une ancienne fuite de données. Cela ne prouve pas un accès actuel à vos appareils ; cela signifie seulement que ce mot de passe a fuité ailleurs. Changez‑le partout où il est (ou était) utilisé et activez la MFA.

Modèle d’e‑mail de sextorsion : à quoi ça ressemble ?

From: vous@exemple.com
Subject: <Votre compte a été piraté>
---
J'ai installé Pegasus sur vos appareils...
J'ai filmé votre écran et activé la caméra...
Envoyez 250 € en Litecoin à cette adresse: Lxxx...
Vous avez 48 h ou j'envoie tout à vos contacts.

Remarquez : aucune preuve, menaces vagues, somme variable, cryptomonnaie exigée. Tout y est.

Que faire si vous avez déjà payé ?

1. Conservez l’e‑mail et toutes les preuves (adresse crypto, horodatage, montants).
2. Déposez une main courante ou plainte et communiquez l’adresse crypto exigée ; ces informations servent aux investigations.
3. Ne renvoyez jamais d’argent et ne poursuivez pas l’échange avec l’arnaqueur.
4. Procédez néanmoins au renforcement de sécurité décrit plus haut (mot de passe, MFA, vérification d’activité, analyse antivirus).

Éduquer son entourage : le meilleur « patch » humain

Partagez avec vos proches les points clés :

• Voir sa propre adresse dans « From » ne prouve rien.
• Aucune rançon à payer ; un vrai pirate n’enverrait pas un spam générique.
• On signale, on sécurise, on passe à autre chose.

FAQ rapide

Le pirate peut‑il envoyer des e‑mails à tous mes contacts ?

Dans cette arnaque, non. Il n’a pas accès à votre boîte ; il ment pour vous effrayer. Par prudence, vérifiez l’activité de votre compte et vos règles de messagerie.

Dois‑je changer d’adresse e‑mail ?

Inutile dans la majorité des cas. Conservez votre adresse, renforcez la sécurité (MFA) et continuez à signaler le spam.

Comment être sûr que « rien » n’est installé ?

Une analyse complète avec Windows Defender (voire hors ligne) et la mise à jour de vos systèmes suffisent généralement. Si vous avez un profil très sensible, consultez un professionnel.

Pourquoi un site web en HTTP n’expose‑t‑il pas directement ma boîte mail ?

HTTP non chiffré expose la navigation (risque d’interception) mais n’ouvre pas un accès à votre messagerie. L’arnaque mise sur la peur, pas sur une faille technique concrète.

Plan d’action en une page

Étape	But	Indicateur que tout est OK
Signaler et supprimer le spam	Bloquer l’expéditeur et entraîner les filtres	Message déplacé en Courrier indésirable/signalé
Auditer l’activité du compte	Détecter toute connexion inconnue	Aucune connexion suspecte ou sessions fermées
Changer le mot de passe	Couper un éventuel accès	Mot de passe long, unique, stocké en coffre
Activer MFA	Bloquer 99 % des tentatives de prise de contrôle	Au moins deux méthodes actives + codes de secours
Scanner les appareils	Écarter une infection locale	Analyse complète/hors ligne sans détection critique
Former l’entourage	Réduire la surface humaine d’attaque	Proches capables d’identifier l’arnaque

Erreurs courantes… et comment les éviter

• Payer sous la pression : l’urgence est fabriquée. Prenez le temps de vérifier ; ne payez jamais.
• Répondre pour « gagner du temps » : cela confirme que l’adresse est active. Ne répondez pas.
• Réutiliser un ancien mot de passe « fort » : s’il a fuité une fois, il est perdu à jamais.
• Se contenter du SMS pour la MFA : préférez l’appli d’authentification ou une clé FIDO2.

Informations complémentaires utiles

• Pour un doute persistant, déposer une main courante ou une plainte et fournir à la police l’adresse crypto exigée ; ces données alimentent les enquêtes.
• Installer un antivirus sur mobile peut rassurer, mais la menace décrite reste avant tout un canular d’ingénierie sociale.
• Éduquer ses proches : expliquer l’usurpation d’adresse et la sextorsion pour qu’ils ne se laissent pas intimider.
• Rappel : un site web en HTTP (non chiffré) n’ouvre pas d’accès direct à votre boîte mail.

Cas d’école : contrôler les règles et redirections Outlook

1. Dans Outlook, ouvrez Paramètres (roue dentée) ▸ Courrier ▸ Règles.
2. Supprimez toute règle ajoutée sans votre consentement (suppression automatique, transfert vers une adresse externe, marquage « lu »).
3. Vérifiez Courrier ▸ Transfert : aucune redirection active vers une adresse inconnue.

Pour les profils à haut risque

Si vous êtes journaliste, militant, élu, dirigeant ou cible probable d’espionnage étatique, n’ignorez jamais un signal faible. Faites auditer vos appareils, adoptez des clés de sécurité (FIDO2), cloisonnez vos comptes et mettez en place des procédures d’incident. Néanmoins, l’e‑mail « Pegasus » reçu en spam demeure une arnaque générique que vous devez traiter comme telle.

Conclusion

Le message « Votre compte Microsoft est infecté par Pegasus, payez en Litecoin » est une sextorsion avec spoofing, sans piratage réel. L’approche gagnante : ne pas payer, signaler, vérifier l’activité, changer le mot de passe, activer la MFA et analyser vos appareils. En l’absence d’activité suspecte, aucune autre action n’est requise.

---

Récapitulatif ultra‑concis

• C’est une arnaque d’intimidation : pas de preuve, adresse « From » usurpée.
• Ne payez jamais. Signalez l’e‑mail comme phishing.
• Contrôlez l’activité du compte Microsoft, changez le mot de passe, activez la MFA.
• Analysez les appareils avec Windows Defender.
• En cas de doute persistant : signalement aux autorités avec l’adresse crypto.