Vous avez reçu un email “Hello pervert” semblant venir de votre propre adresse Outlook/Hotmail ? Voici comment différencier l’usurpation d’adresse d’un vrai piratage, sécuriser votre compte Microsoft et protéger OneDrive — sans paniquer ni payer.
Courriels d’extorsion « Hello pervert » prétendument envoyés depuis votre propre adresse Outlook/Hotmail
Vue d’ensemble de la question
Depuis plusieurs mois circulent des emails de sextorsion annonçant : « nous avons piraté votre compte Microsoft », « ce message provient de VOTRE adresse », « nous avons vos photos/vidéos », et parfois la mention d’un « logiciel Pegasus ». Chez beaucoup de victimes, aucun message correspondant n’apparaît dans Éléments envoyés, et l’activité récente ne montre pas d’accès suspect. Souvent, la photo affichée à côté du message est bien la vôtre, ce qui alimente l’inquiétude. Faut‑il y voir un piratage de votre boîte Outlook/Hotmail ou “juste” une usurpation ? Que faire pour sécuriser le compte, OneDrive et vos appareils ?
Réponse & Solutions
Diagnostic rapide — s’agit‑il d’un spoofing (usurpation) ou d’un accès réel ?
Commencez par confronter les symptômes à la réalité technique. Dans l’écrasante majorité des cas, il s’agit d’une usurpation du champ “De” : l’expéditeur forge l’adresse d’envoi pour faire croire que vous vous êtes écrit à vous‑même. Aucun accès à votre compte n’est requis pour cela.
| Symptôme | Interprétation la plus probable | Action immédiate |
|---|---|---|
| Le mail n’apparaît pas dans Éléments envoyés/Supprimés | Usurpation : le message n’a pas été envoyé depuis votre boîte | Signaler comme hameçonnage, supprimer |
| Votre avatar s’affiche à côté du message | Comportement normal : l’appli mail associe votre photo à toute adresse “De” correspondant à votre compte | Ignorer ce “signal”, il n’a aucune valeur de preuve |
| Activité récente : aucune connexion inconnue | Pas d’indice de compromission | Changer le mot de passe par précaution et renforcer la 2FA |
| Activité récente : connexion réussie que vous ne reconnaissez pas | Suspicion de compromission réelle | Procédure “incident confirmé” (ci‑dessous) |
| Multiples tentatives de connexion échouées | Bruteforce/robots courant sur adresses exposées | Assurer mot de passe unique + 2FA ; surveiller seulement les connexions réussies |
Où vérifier ? Ouvrez l’activité récente de votre compte Microsoft puis, dans Outlook : Paramètres → Courrier → Règles / Transfert / Comptes connectés. Dans OneDrive : vérifiez Partages, Corbeille, Historique des versions, Restauration de fichiers.
Mesures à faire dans tous les cas (même si vous pensez à de l’usurpation)
- Signaler comme hameçonnage dans Outlook (bouton “Signaler” → “Hameçonnage”), puis supprimer le message.
- Ne répondez jamais. N’ouvrez aucun lien ni pièce jointe. N’activez pas les images distantes.
- Changer le mot de passe Microsoft : long (≥16), unique, aléatoire, stocké dans un gestionnaire.
- Activer/renforcer la 2FA : application Microsoft Authenticator ou clé FIDO2/passkey. Refuser toute demande non sollicitée (“push fatigue”). Conserver des codes de récupération hors ligne.
- Vérifier les informations de sécurité : email/numéro de secours, méthodes 2FA, appareils approuvés. Supprimer tout élément inconnu.
- Révoquer les sessions : “Se déconnecter partout” et supprimer les mots de passe d’applications obsolètes. Retirer l’accès des applications/services connectés non essentiels.
- Contrôler Outlook : Règles, Transfert, Réponses automatiques, Comptes connectés. Supprimer tout ce que vous n’avez pas créé.
- Examiner OneDrive : partages actifs, liens de partage inconnus. Utiliser Restauration de fichiers si des fichiers ont été modifiés/encryptés.
- Scanner vos appareils (PC/téléphone) avec un antivirus réputé. Mettre à jour Windows/macOS/iOS/Android, navigateurs et extensions.
- Changer les mots de passe réutilisés ailleurs et activer la 2FA sur vos autres services (banque, réseaux sociaux, messagerie secondaire…).
Si une connexion inconnue a été réussie (traiter comme compromission)
Appliquez immédiatement le plan ci‑dessous — idéalement dans l’heure (H+1), puis contrôlez sur 24 h.
| Fenêtre | Action prioritaire | Détails |
|---|---|---|
| H+0 à H+1 | Changement du mot de passe + 2FA | Nouveau mot de passe long/unique. Réinitialiser les méthodes Authenticator si doute. |
| H+0 à H+1 | Révocation de sessions et connexions OAuth | Se déconnecter partout, supprimer mots de passe d’app, révoquer accès tiers. |
| H+1 à H+2 | Contrôle d’Outlook | Règles, transferts sortants, alias, comptes connectés, réponses automatiques, dossiers inhabituels. |
| H+1 à H+3 | Contrôle de OneDrive/Photos | Historique des versions, partages actifs, suppression de liens, restauration si besoin. |
| H+2 à H+6 | Audit appareils | Analyse antivirus, mises à jour, désinstallation d’apps suspectes, audit des extensions. |
| H+6 à J+1 | Comptes sensibles | Changer les mots de passe banque, messagerie secondaire, réseaux sociaux. Révoquer sessions. |
Surveiller ensuite pendant quelques jours : notifications de sécurité, nouveaux appareils, tentatives de connexion, règles recréées.
Questions fréquentes (FAQ)
J’utilise déjà Authenticator/2FA/passwordless, dois‑je changer quelque chose ?
Si l’activité récente et vos appareils approuvés sont normaux, votre configuration est saine. Faites un contrôle de routine : vérifiez les méthodes 2FA, supprimez les appareils inconnus, regénérez des codes de récupération et conservez‑les hors ligne. Évitez d’approuver une demande que vous n’avez pas initiée.
La photo de profil à côté du mail est la mienne ; suis‑je piraté(e) ?
Non. Les clients mail affichent l’avatar de votre compte dès que le champ “De” montre votre adresse. C’est un simple effet d’interface qui ne prouve rien.
Pourquoi le mail “semble venir de moi” sans trace d’envoi ?
Parce que l’expéditeur a forgé le champ From. L’envoi n’a pas transité par votre boîte, donc aucune trace dans Éléments envoyés. C’est le principe même du spoofing.
Ils mentionnent “Pegasus” ; est‑ce crédible ?
Non. Nommer un malware ultra‑ciblé sert à vous effrayer. Ces campagnes de masse ne reposent pas sur ce type d’outil. Restez factuel : cherchez une connexion réussie inconnue. Sans cela, pas d’indice de piratage.
Comment ont‑ils obtenu mon adresse Hotmail/Outlook ?
Fuites de bases d’autres sites, reventes marketing, collecte publique (réseaux sociaux), dictionnaires d’adresses, ou récupération depuis des carnets compromis. D’où : mot de passe unique, 2FA et hygiène des données.
Les nombreuses tentatives de connexion échouées m’inquiètent…
C’est courant. Avec 2FA et un mot de passe fort, elles n’aboutissent pas. Concentrez‑vous sur les connexions réussies inconnues et les alertes de modification (mot de passe, alias, infos de sécurité).
Mode d’emploi pas à pas (Outlook, Compte Microsoft, OneDrive)
| Ce que vous vérifiez | Où cliquer | Ce que vous devez voir | Que faire si c’est suspect |
|---|---|---|---|
| Activité récente (connexions) | Compte Microsoft → Sécurité → Activité de connexion | Vos appareils/IP habituels, horaires cohérents | “Ce n’était pas moi”, forcer déconnexion globale, changer mot de passe, 2FA |
| Infos de sécurité | Compte Microsoft → Sécurité → Infos de sécurité | Numéro/email de secours connus, méthodes 2FA maîtrisées | Supprimer/mettre à jour tout contact ou méthode inconnue |
| Apps/Services connectés | Compte Microsoft → Confidentialité ou Sécurité → Applications & services | Applications que vous reconnaissez | Révoquer l’accès des apps non essentielles ou inconnues |
| Règles de boîte, transfert | Outlook → Paramètres (engrenage) → Courrier → Règles / Transfert | Absence de règles automatiques inattendues | Supprimer toute règle de redirection/archivage suspecte |
| Alias et comptes connectés | Outlook → Paramètres → Courrier → Comptes | Alias légitimes, pas d’adresse de routage inconnue | Retirer l’alias ou le compte connecté inconnu |
| OneDrive : partages & versions | OneDrive → Partagés / Corbeille / Historique des versions / Restauration | Partages attendus, aucune suppression massive | Retirer les liens de partage, restaurer les versions, faire une restauration globale si besoin |
Comprendre l’usurpation d’adresse (technique rapide)
Un email comporte des en‑têtes (headers) que vous pouvez afficher pour obtenir des indices : From, Sender, Return‑Path, et les résultats SPF/DKIM/DMARC. Un spoofing typique peut ressembler à ceci :
From: Votre Nom <votre.adresse@outlook.com>
Sender: mailer@exemple‑compromis.tld
Return-Path: bounce@exemple‑compromis.tld
Authentication-Results: spf=fail; dkim=none; dmarc=fail
Received: from 203.0.113.25 by relais-tiers.tld with SMTP...
- From : facile à forger, indicatif pour l’affichage uniquement.
- Return‑Path et Sender : donnent souvent le domaine réel expéditeur.
- SPF/DKIM/DMARC : s’ils échouent, l’email est probablement usurpé. Même s’ils passent, cela ne prouve pas que votre boîte a été utilisée : l’expéditeur peut exploiter un domaine légitime mais tiers.
Où trouver les en‑têtes ? Dans Outlook (web), ouvrez le message → menu “…” → option d’affichage de la source du message (libellé variable selon interface). Dans Outlook pour Windows/macOS, ouvrez le message → Fichier → Propriétés → zone En‑têtes Internet.
Bonnes pratiques de prévention (Outlook/Hotmail et au‑delà)
- Mot de passe unique + 2FA obligatoire (Authenticator ou clé FIDO2). Envisager le passwordless via passkeys.
- Gestionnaire de mots de passe pour créer/stocker des phrases de passe robustes.
- Bloquer le chargement automatique des images dans les emails : cela empêche les pixels espions de confirmer que vous avez “lu” le message.
- Filtrage renforcé : créer une règle “déplacer vers Indésirables” pour des mots‑clés récurrents (sans bloquer votre courrier légitime).
- Alias “jetables” : utiliser des alias ou le “plus‑addressing” (ex. votre.adresse+site@outlook.com) pour pister l’origine des fuites.
- Surveillance : activer les notifications de sécurité compte Microsoft (tentatives inhabituelles, changements d’informations).
- Hygiène des appareils : OS et navigateurs à jour, extensions limitées au strict nécessaire, antivirus actif.
Étapes détaillées : sécuriser immédiatement votre compte Microsoft
- Changer le mot de passe : 16–24 caractères, mélange de mots aléatoires (méthode “diceware” ou équivalent), pas de réutilisation.
- Revoir la 2FA :
- Priorité à l’app Authenticator ou aux clés de sécurité FIDO2.
- Désactiver la validation par SMS si possible (moins robuste), conserver tout de même un numéro de secours.
- Générer et stocker des codes de récupération hors ligne (papier/coffre).
- Nettoyer les accès :
- “Se déconnecter partout”.
- Supprimer les mots de passe d’applications que vous n’utilisez plus.
- Révoquer les applications/services qui utilisent votre compte Microsoft s’ils ne sont pas indispensables.
- Outlook :
- Supprimer toute règle inconnue (ex. déplacer vers un dossier caché, marquer “lu”, transférer vers un email externe).
- Vérifier Transfert (doit être désactivé si vous ne l’utilisez pas).
- Contrôler Réponses automatiques et comptes connectés (POP/IMAP).
- OneDrive :
- Parcourir Partagés (retirer les liens inconnus), Corbeille, Activité récente.
- Si besoin, utiliser Historique des versions ou Restauration de fichiers pour revenir en arrière.
- Appareils :
- Scan antivirus complet sur PC/Mac.
- Mettre à jour OS, pilotes, navigateurs, applications.
- Sur mobile, retirer les permissions d’apps inutiles, supprimer les APK/profils douteux.
Checklist express
- ☐ Signaler comme Phishing → Supprimer.
- ☐ Changer le mot de passe Microsoft (long, unique).
- ☐ Activer/renforcer 2FA (Authenticator / clé FIDO2 / passkey).
- ☐ Vérifier Activité récente + Se déconnecter partout.
- ☐ Contrôler Infos de sécurité, Règles/Transferts Outlook, Appareils et Applications connectées.
- ☐ Analyser PC/téléphone, mettre à jour.
- ☐ Revoir mots de passe des autres services et activer 2FA.
- ☐ Sur OneDrive : Corbeille et Historique des versions si besoin.
Exemples concrets & réponses recommandées
Scénario A : vous recevez “Hello pervert”, avatar affiché, aucune trace dans Éléments envoyés, activité récente normale.
- Diagnostic : usurpation.
- Action : signaler hameçonnage, supprimer. Changer mot de passe par hygiène, revoir 2FA et infos de sécurité.
Scénario B : vous recevez “Hello pervert”, et vous voyez une connexion réussie depuis un pays inconnu hier soir.
- Diagnostic : compromission probable.
- Action : procédure “incident confirmé” : mot de passe, 2FA, déconnexion globale, suppression de règles et transferts, contrôle OneDrive, audit appareils.
Scénario C : vous utilisez déjà une clé FIDO2, mais vous recevez des dizaines de tentatives de connexion échouées.
- Diagnostic : bruit normal de l’Internet.
- Action : aucune mesure d’urgence. Continuer à refuser toute demande 2FA non initiée (attention au MFA fatigue), rester vigilant sur les connexions réussies.
Pièges à éviter
- Ne jamais payer : ces menaces sont automatisées et mensongères. Payer vous expose à d’autres extorsions.
- Ne pas répondre ni “se désabonner” : cela confirme que votre adresse est active.
- Ne pas approuver une demande 2FA que vous n’avez pas initiée.
- Ne pas installer d’outils “anti‑espion” envoyés par email ou téléchargés depuis des liens douteux.
Signaux faibles de compromission dans Outlook (à vérifier attentivement)
- Règle qui marque “lu” et déplace dans un dossier peu visible (ex. “Archives 2”).
- Transfert sortant vers une adresse inconnue.
- Réponses automatiques activées sans raison avec un message vide.
- Alias ajouté récemment que vous ne reconnaissez pas.
- Éléments envoyés contenant des messages que vous n’avez pas écrits.
Protection renforcée : aller plus loin
| Mesure | Gain de sécurité | Effort | Quand l’adopter ? |
|---|---|---|---|
| Clé FIDO2 / Passkey | Très élevé (résistant au phishing) | Moyen (achat/activation) | Comptes critiques (messagerie, banque) |
| Gestionnaire de mots de passe | Élevé (fin de la réutilisation) | Faible | Toujours |
| Blocage images distantes | Moyen (anti‑tracking) | Faible | Toujours |
| Alias “jetables” | Moyen (traçabilité des fuites) | Faible | Inscription à des services non critiques |
Entreprises & écoles (Microsoft 365) : points spécifiques
- Appliquer MFA conditionnelle (tous les utilisateurs), impossible travel, et session revocation après reset.
- Monter le niveau d’audit : journaux de connexion, alertes sur création de règles de boîte et forwarding externe.
- Éduquer : sensibilisation au spoofing, au chantage, au MFA fatigue.
- Protection des données : versions/backup de OneDrive et SharePoint, étiquetage de sensibilité, DLP.
Résumé exécutable
Face à un email “Hello pervert” qui “vient de vous” : 1) signalez hameçonnage et supprimez ; 2) vérifiez l’activité de connexion ; 3) changez le mot de passe et renforcez la 2FA ; 4) passez en revue règles/ transferts/alias dans Outlook ; 5) contrôlez OneDrive et vos appareils ; 6) ne considérez “incident confirmé” que si une connexion réussie inconnue ou des modifications non voulues sont constatées.
Conclusion
Dans la quasi‑totalité des cas, ces courriels d’extorsion “Hello pervert” sont de simples usurpations d’adresse, rendues crédibles par des artifices d’interface (votre avatar) et du bluff (“Pegasus”). Ce n’est pas un piratage effectif de votre Outlook/Hotmail tant que l’activité récente ne montre pas une connexion réussie que vous ne reconnaissez pas. La marche à suivre tient en trois piliers : éliminer l’email (signalement/suppression), sécuriser le compte (mot de passe unique, 2FA/passkeys, contrôle des règles et des sessions), et assainir les appareils (mises à jour, antivirus). En cas de doute, appliquez la procédure “incident confirmé”. Votre meilleure défense : des identifiants robustes, une 2FA moderne, et une vigilance calme mais régulière.