Arnaque sextorsion par email « de votre adresse » (Pegasus, Hello pervert) : reconnaître, signaler et sécuriser Outlook

Vous avez reçu un email « de votre propre adresse » menaçant de publier une vidéo et réclamant des crypto ? Respirez. Voici comment reconnaître l’arnaque de sextorsion, vérifier votre compte et sécuriser Outlook/Hotmail pas à pas, sans paniquer.

De quoi parlait la discussion ?

Des utilisateurs reçoivent un message qui semble venir « de leur propre boîte ». Le texte joue sur la honte et l’urgence : salutations agressives (« Hello pervert… »), menaces de diffusion de vidéos prétendument enregistrées via un logiciel espion (souvent baptisé « Pegasus »), ultimatum de 24–48 h, demande de paiement en cryptomonnaie. Beaucoup s’interrogent : est‑ce réel ? Est‑ce dangereux d’ouvrir le mail ? Mon compte a‑t‑il été piraté ? Faut‑il signaler, supprimer, changer de mot de passe, voire fermer l’adresse ?

La bonne nouvelle : dans l’écrasante majorité des cas, c’est une arnaque de sextorsion de masse. Vous pouvez vous en sortir sans dommage en suivant quelques gestes simples et un contrôle rapide de votre compte.

Diagnostic rapide

• Arnaque de sextorsion. Les cybercriminels recyclent des scénarios stéréotypés pour soutirer de l’argent. Le nom « Pegasus » est utilisé pour faire peur, pas parce qu’ils en disposent réellement.
• Expéditeur identique au vôtre ? Souvent usurpé (spoofing). On peut forger le champ From: sans accéder à votre boîte. Cela n’est pas une preuve d’intrusion.
• En‑têtes techniques. Les lignes du type Received: from … retracent le chemin des serveurs (ex. …prod.outlook.com, me241.com) ; elles ne prouvent pas une infection locale.
• Affichage ≠ infection. Lire ou prévisualiser un mail ne « contamine » pas un appareil à lui seul. Le risque apparaît si vous cliquez sur des liens/pièces jointes, activez des macros, répondez, ou payez.
• Codes à usage unique reçus sans action de votre part ? Le plus souvent, ce sont des tentatives de connexion bloquées par vos protections. Ce n’est pas une preuve d’accès réussi.
• Traitez comme compromis réel seulement si vous constatez : connexions inconnues, messages sortants que vous n’avez pas écrits, règles de messagerie bizarres, achats non autorisés.

Ce qui est sans risque… et ce qui ne l’est pas

Sans (ou très) faible risque	À risque / à éviter
Lire le mail en texte brut / prévisualiser sans cliquer	Cliquer sur des liens (fausses pages de connexion)
Enregistrer le message comme preuve (.eml ou texte)	Ouvrir des pièces jointes (scripts, macros, archives)
Faire des captures d’écran	Autoriser les images distantes (pixels de suivi)
Le marquer comme hameçonnage / spam	Répondre au fraudeur ou payer

Plan d’action recommandé (rapide & suffisant)

1. Ne payez pas et ne répondez pas. Toute interaction confirme que votre adresse est active.
2. Signalez comme « Hameçonnage » dans votre client, puis supprimez.
   • Outlook.com / Outlook sur le web : ouvrez le message → Signaler → Hameçonnage (ou Courrier indésirable si l’option manque).
   • Outlook (Windows/Mac) : clic droit sur le message → Junk/Indésirable → Phishing (ou Bloquer).
   • Outlook mobile : appui long sur le message → Déplacer vers indésirables / Signaler.
3. Changez le mot de passe de l’adresse touchée (long, unique, stocké dans un gestionnaire). Évitez les variantes proches d’un ancien mot de passe.
4. Activez la double authentification (2FA) si ce n’est pas déjà fait. Privilégiez une application d’authentification (ou Passkeys si proposées) plutôt que le SMS.
5. Vérifiez l’activité du compte : connexions récentes, appareils, sessions ouvertes.
   • Dans l’écosystème Microsoft, consultez la page Sécurité/activité récente de votre compte Microsoft : identifiez des connexions ou appareils inconnus et signalez/déconnectez‑les.
6. Inspectez les « Règles » et transferts de la boîte : supprimez tout ce qui marque automatiquement comme lu, déplace, ou transfère vers une adresse que vous ne connaissez pas.
7. Fermez les sessions actives sur tous les appareils et révoquez les accès d’applications tierces (OAuth) que vous n’utilisez pas.
8. Mettez à jour et analysez vos appareils (Windows/macOS/iOS/Android) avec un antivirus/antimalware réputé.
9. Réutilisation de mot de passe ? Changez aussi les mots de passe des autres services où il était recyclé.

Comment vérifier si votre compte est réellement compromis ?

Recherchez au moins un des indicateurs ci‑dessous. Un seul suffit à déclencher une procédure de récupération.

Indicateur	Où vérifier	Que faire si trouvé
Connexions ou appareils inconnus	Tableau de bord Sécurité → Activité récente / Appareils	Déconnecter l’appareil, signaler l’activité, changer le mot de passe, appliquer 2FA
Messages en Envoyés que vous n’avez pas écrits, brouillons étranges	Dossiers Envoyés et Brouillons	Supprimer, avertir vos contacts, changer le mot de passe, 2FA
Règles ajoutées (ex. « Marquer comme lu et supprimer », transferts vers une autre adresse)	Paramètres → Courrier → Règles & Transferts	Supprimer les règles, vérifier les boîtes partagées, révoquer les délégués inconnus
Changements non autorisés de numéro de récupération/email secondaire/2FA	Paramètres du compte → Infos de sécurité	Retirer les méthodes ajoutées, rétablir vos coordonnées, lancer la récupération du compte
Reçus de non‑distribution (NDR) pour des mails jamais envoyés	Boîte de réception	Changer le mot de passe, 2FA, vérifier Envoyés et Règles, signaler l’abus
Achats ou abonnements Microsoft inconnus	Historique des commandes/abonnements	Contester, prévenir la banque, activer alertes et authentification renforcée

Pourquoi peut‑on recevoir un email « de soi‑même » ?

Parce que l’expéditeur peut usurper le champ From:. Les services de messagerie combattent cela via trois mécanismes :

Sigle	Ce que c’est	Impact
SPF	Liste des serveurs autorisés à envoyer au nom d’un domaine	Aide à bloquer l’usurpation depuis des serveurs non autorisés
DKIM	Signature numérique du message par le domaine émetteur	Permet de détecter les falsifications du contenu
DMARC	Politique du domaine sur quoi faire si SPF/DKIM échouent	Indique de rejeter/quarantaine/aucune action en cas d’échec

Si SPF/DKIM/DMARC sont absents ou mal configurés côté domaine qui prétend vous écrire, des emails usurpés peuvent passer les filtres. Cela n’implique pas que votre boîte soit ouverte. Quant aux lignes Received:, elles notent simplement le chemin entre serveurs ; elles ne sont pas une preuve d’infection locale.

« Pegasus », vraiment ?

Pratiquement jamais. Pegasus (par NSO Group) est un outil d’espionnage très coûteux, déployé contre des cibles hautement ciblées via des failles sophistiquées (souvent zero‑click). Les campagnes massives « Hello pervert » n’ont pas ces moyens ; elles emploient le nom pour gagner en crédibilité. Si vous n’avez pas cliqué, téléchargé ni installé quoi que ce soit, l’email n’a pas pu déposer un espion de ce type. Pour rester serein, mettez à jour vos appareils et lancez un scan : c’est surtout une mesure d’hygiène.

Guides pas à pas selon votre application Outlook

Outlook.com / Outlook sur le web

• Signaler l’email : ouvrez le message → bouton Signaler → Hameçonnage.
• Désactiver le chargement des images distantes : Paramètres → Courrier → Mise en page ou Gestion des messages → désactiver le téléchargement automatique des images externes.
• Vérifier les règles : Paramètres → Courrier → Règles et Transfert → supprimer toute règle/renvoi inconnu.
• Révoquer des sessions : clic sur votre avatar → Mon compte → Appareils / Sécurité → se déconnecter partout si doute.
• Changer le mot de passe & activer 2FA : Compte Microsoft → Sécurité → Mot de passe puis Options de sécurité avancées → activer l’application d’authentification.
• Conserver une preuve (.eml) : menu … du message → Télécharger (ou Afficher la source puis enregistrer).

Outlook pour Windows

• Signaler/Indésirable : clic droit sur le message → Courrier indésirable → Phishing / Bloquer.
• Désactiver les images distantes : Fichier → Options → Centre de gestion de la confidentialité → Paramètres du Centre… → Téléchargement automatique → cocher « Ne pas télécharger automatiquement… ».
• Voir/modifier les règles : Accueil → Règles → Gérer les règles et alertes → supprimer les règles inconnues.
• Examiner les comptes et profils : Fichier → Paramètres du compte → vérifier qu’aucun renvoi/boîte de réception partagée suspecte n’est ajouté.
• Exporter la preuve : glisser le message vers le Bureau pour enregistrer un .msg (ou utilisez l’option Enregistrer sous).

Outlook pour Mac

• Signaler : clic droit → Courrier indésirable → Hameçonnage.
• Désactiver les téléchargements automatiques : Outlook → Préférences → Lecture → décocher le téléchargement des images externes.
• Règles : Outils → Règles → supprimer les entrées inconnues.
• Sauvegarder la preuve : Menu Fichier → Enregistrer sous → .eml.

Outlook mobile (iOS/Android)

• Signaler : appui long → Courrier indésirable / Signaler.
• Déconnecter l’appareil : Paramètres (roue dentée) → votre compte → Supprimer le compte (cela n’efface pas l’adresse, seulement l’appairage de l’app).
• 2FA : installez Microsoft Authenticator (ou équivalent) et associez‑le depuis les paramètres de sécurité du compte.

Empêcher le suivi et durcir votre posture

• Désactiver le chargement des images distantes (trackers) dans votre client.
• Lire en texte brut lorsqu’un message vous semble douteux.
• Gestionnaire de mots de passe : créez des mots de passe longs et uniques, stockés en coffre chiffré.
• 2FA partout où possible (appli d’authentification ou passkeys). Évitez le SMS si une option plus robuste existe.
• Mises à jour système et navigateur : corrigez rapidement les failles exploitables.

Erreurs fréquentes à éviter

• Répondre au fraudeur pour « gagner du temps » : cela ne fait que confirmer votre adresse.
• Cliquer pour « se désabonner » d’un message manifestement malveillant : c’est souvent un piège.
• Payer une rançon pour « en finir » : vous devenez une cible de choix pour de nouvelles demandes.
• Changer le mot de passe en conservant les mêmes règles/renvois : l’attaquant peut rester présent côté serveur.
• Fermer l’adresse dans la précipitation : vous perdez l’historique et les accès liés. Sécurisez d’abord, ensuite décidez.

Foire aux questions express

Ouvrir ou enregistrer le message est‑ce dangereux ?
Afficher un mail en texte brut et l’enregistrer comme preuve (.eml) n’installe rien. Le danger commence lorsque vous cliquez sur des liens, ouvrez des pièces jointes, activez des macros, autorisez les images distantes, ou répondez.

Dois‑je fermer mon adresse ?
Inutile si vous la sécurisez : mot de passe fort et unique, 2FA, règles vérifiées, sessions révoquées. Fermer l’adresse est une décision de dernier recours.

Comment savoir si quelqu’un m’a réellement filmé ?
Dans ces campagnes de masse, ils n’ont rien. Ils bluffent. Exigez‑vous des preuves concrètes : il n’y en a jamais. Si vous avez des doutes liés à un appareil (ex. pièce jointe ouverte), faites un scan et mettez à jour le système.

Que signifient les codes 2FA reçus sans action de ma part ?
Quelqu’un a tenté de se connecter avec votre adresse. Vos protections ont demandé un code : c’est le signe qu’elles fonctionnent. Changez le mot de passe, activez/renforcez 2FA.

Dois‑je aller à la police ?
Vous pouvez conserver la preuve (.eml) et déposer plainte. Mentionnez la demande de rançon et joignez des captures d’écran. Si des débits sont apparus, prévenez immédiatement votre banque.

Comment vérifier si mon adresse a fuité dans des bases de données compromises ?
Utilisez un service réputé de vérification d’email compromis ; s’il confirme une fuite, changez le mot de passe partout où il était réutilisé et activez la 2FA.

Modèles et check‑list utiles

Message type pour alerter votre équipe IT

Objet : Tentative de sextorsion par e‑mail – demande de vérification rapide

Bonjour,

J’ai reçu aujourd’hui un message usurpant mon adresse, réclamant une rançon en cryptomonnaie et mentionnant « Pegasus ».
Actions faites : signalement hameçonnage, suppression, changement de mot de passe, 2FA activée.
Pouvez‑vous vérifier : connexions récentes, règles/renvois, accès OAuth tiers, et invalider les sessions actives ?

Je peux fournir le message au format .eml sur demande.

Merci,

Check‑list 10 minutes

• Signaler → supprimer le mail
• Changer le mot de passe (long & unique)
• Activer 2FA (appli d’authentification)
• Vérifier connexions récentes & appareils
• Contrôler règles/renvois/boîtes partagées
• Révoquer sessions & accès d’apps tierces
• Mettre à jour OS & lancer un scan antivirus

Comprendre quelques termes clés

• Spoofing (usurpation) : falsification de l’expéditeur d’un email (From:) pour faire croire qu’il vient d’une adresse légitime.
• SPF/DKIM/DMARC : standards qui, combinés, aident les serveurs à valider qu’un message est autorisé et non altéré, et à décider du traitement en cas d’échec.
• Zero‑click : attaque qui n’exige aucune action de l’utilisateur. Très rare et coûteuse, surtout hors cibles de haute valeur.
• OAuth : mécanisme permettant d’autoriser une application à accéder à votre boîte sans lui donner votre mot de passe. À révoquer si inconnu/inutile.
• Pixel de suivi : minuscule image distante chargée à l’ouverture d’un mail, confirmant aux expéditeurs que votre adresse est active.

Cas particuliers et conseils pratiques

• Vous avez cliqué par erreur : changez immédiatement le mot de passe, activez 2FA, déconnectez toutes les sessions, révoquez les accès tiers, et faites un scan complet de l’appareil. Si vous avez saisi des identifiants sur une page, considérez‑les compromis.
• Vous avez payé : conservez les preuves (adresses de portefeuille, montant, horodatage), déposez plainte, signalez à votre banque/plateforme crypto, et surveillez vos comptes. Ne payez plus : cela encourage de nouvelles extorsions.
• Vous êtes mineur : parlez‑en à un adulte de confiance ou à une autorité compétente. Les arnaqueurs comptent sur la honte ; vous n’êtes pas en faute.
• Utilisation professionnelle (Microsoft 365) : informez l’IT. Ils pourront vérifier les journaux d’audit, règles EXO, boîtes partagées et paramètres de transport, et imposer le sign‑out global.

Résumé opérationnel

L’essentiel : c’est une sextorsion par hameçonnage avec usurpation d’adresse. Ne cliquez pas, ne payez pas. Signalez puis sécurisez vos comptes : mot de passe unique, 2FA, règles contrôlées, sessions révoquées, appareils à jour. Considérez un compromis réel seulement s’il existe des indices concrets (connexions/envoyés/règles/achats).