Un e‑mail affirme que « Pegasus » espionne vos appareils et réclame une rançon en cryptomonnaie depuis votre propre adresse Microsoft ? Voici comment reconnaître l’arnaque, vérifier si votre compte Outlook a été compromis et sécuriser durablement votre identité numérique.
Alerte « Pegasus » et chantage vidéo
Vue d’ensemble de la question
- Vous recevez un message prétendant que le logiciel espion « Pegasus » est installé sur tous vos appareils.
- Le courriel semble provenir de votre propre adresse Microsoft/Outlook et menace de diffuser des vidéos intimes si vous ne payez pas en cryptomonnaie dans les 48 heures.
- Problème central : votre compte Microsoft a‑t‑il réellement été piraté ? Que faire immédiatement ?
À retenir en une phrase : dans la quasi‑totalité des cas, il s’agit d’une arnaque de sextorsion qui usurpe l’expéditeur ; votre compte n’est pas réellement compromis. Vérifiez l’activité récente, renforcez la sécurité et ne répondez pas, ne payez pas.
Ce qui se passe réellement
Les escrocs exploitent deux leviers psychologiques : la peur et l’urgence. Pour paraître crédibles, ils citent « Pegasus », un nom de logiciel espion connu, et usurpent votre adresse d’expéditeur : cette technique (spoofing) consiste à afficher n’importe quelle adresse dans le champ From sans accéder au compte. En d’autres termes, le message semble venir de vous, mais a été envoyé depuis un serveur tiers. Aucune preuve technique ne confirme une intrusion tant que vous ne voyez pas de connexions suspectes dans l’historique de votre compte Microsoft.
Indices typiques d’une sextorsion
- Délai menaçant (24–48 h) pour forcer une décision impulsive.
- Exigence de paiement en cryptomonnaie, sans preuve concrète (pas de capture d’écran, pas de détail technique vérifiable).
- Adresse d’expéditeur identique à la vôtre ou ressemblant à « support / sécurité Microsoft », mais le contenu est générique et truffé d’erreurs.
Réponse & Solution
Probabilité quasi nulle de piratage réel
Dans l’immense majorité des cas, votre compte n’a pas été piraté. Les escrocs se contentent d’usurper l’expéditeur et d’envoyer le même texte à des milliers de personnes. Pour en avoir le cœur net :
- Ouvrez la page de votre compte Microsoft > Sécurité > Activité (historique d’activités récentes).
- Vérifiez l’horaire, la localisation, l’appareil et le statut des connexions (réussie/échouée).
- Si vous voyez une connexion réussie que vous ne reconnaissez pas, marquez‑la comme « Ce n’est pas moi », changez le mot de passe et activez la MFA (voir ci‑dessous).
- En l’absence de connexion réussie inconnue, votre compte est intact.
Checklist express (5 minutes)
- Activité récente vérifiée, aucune connexion inconnue
- Mot de passe changé et unique
- Authentification multifacteur activée
- E‑mail signalé comme hameçonnage (phishing)
- Règles de transfert/renvoi indésirable vérifiées
Mesures de sécurité recommandées
Alias Outlook et masquage de l’identifiant
Objectif : réduire les tentatives de connexion automatisées visant votre adresse d’origine, tout en conservant l’historique et vos abonnements.
- Dans votre compte Microsoft, ouvrez Gérer la façon dont vous vous connectez à Microsoft.
- Ajoutez un nouvel alias (ex. :
prenom.nom.secure@outlook.com) et définissez‑le comme alias principal. - Désactivez la connexion avec l’ancien alias (masquez‑le pour la connexion, si l’option est disponible).
- Ne supprimez pas l’ancien alias : vous continuerez à recevoir les e‑mails et ne perdrez pas vos services liés.
Avantage : les scripts de bourrage d’identifiants (credential stuffing) ciblent souvent l’adresse connue publiquement. Un alias principal inédit réduit ces tentatives.
Authentification multifacteur (MFA)
Activez la MFA pour bloquer toute connexion non autorisée, même si un mot de passe fuitait.
- Microsoft Authenticator (recommandé) : validation par notification push ou code OTP.
- Clé de sécurité FIDO2 (très robuste) : U2F/NFC/USB.
- SMS : à garder en mécanisme de secours (moins fiable que les deux options ci‑dessus).
Conseil : enregistrez au moins deux facteurs (ex. téléphone principal + clé FIDO ou deuxième téléphone) et conservez des codes de récupération en lieu sûr.
Hygiène de mot de passe
- Créez une passphrase longue (16+ caractères) unique à Microsoft.
- Stockez‑la dans un gestionnaire de mots de passe et activez l’alerte de fuites (si disponible).
- Ne réutilisez jamais un mot de passe entre vos services sensibles (e‑mail, banque, cloud, réseaux sociaux).
Signaler l’e‑mail comme hameçonnage
Signaler aide à améliorer les filtres et protège d’autres utilisateurs.
- Outlook sur le Web : ouvrez le message > Signaler > Hameçonnage.
- Outlook pour Windows/Mac (nouvelle version) : Indésirable > Hameçonnage.
- Outlook Mobile : menu ⋯ sur le message > Signaler l’expéditeur > Hameçonnage.
Aucune interaction avec l’expéditeur
Ne répondez pas, ne cliquez pas sur les liens, ne payez pas. Toute réaction valide votre adresse et déclenche souvent de nouvelles tentatives d’arnaque.
Surveillance continue
- Activité de connexion : contrôlez‑la régulièrement et marquez tout accès suspect.
- Règles de boîte aux lettres : vérifiez « Transfert », « Renvoi », « Règles », « Boîte de réception prioritaire », « Répondeur automatique » pour détecter des redirections indésirables.
- Antivirus/antimalware : lancez une analyse complète et, si possible, une analyse hors‑ligne. Mettez vos appareils à jour.
- Navigateur : supprimez les extensions inutiles, vérifiez les gestionnaires de mots de passe intégrés et activez le Password Monitor si disponible.
Tableau comparatif : arnaque vs intrusion réelle
| Symptôme | Probable arnaque | Indicateur d’intrusion | Action recommandée |
|---|---|---|---|
| E‑mail exigeant une rançon, sans preuve technique | Très probable | Faible | Signaler comme hameçonnage, ne pas répondre |
| Adresse d’expéditeur identique à la vôtre | Usurpation (spoofing) courante | — | Vérifier l’activité récente ; s’il n’y a rien, pas d’intrusion |
| Connexions réussies inconnues dans l’historique | — | Élevée | Changer mot de passe, activer MFA, révoquer sessions |
| Règles de transfert / renvoi ajoutées sans votre accord | — | Élevée | Supprimer règles, sécuriser compte, notifier contacts clés |
| Mot de passe cité dans l’e‑mail | Souvent issu d’anciennes fuites | Moyenne si mot de passe encore utilisé | Modifier tous les comptes où il est réutilisé, activer MFA |
Procédure détaillée
Vérifier l’activité récente du compte Microsoft
- Allez sur Compte Microsoft > Sécurité > Activité.
- Examinez chaque ligne : date/heure, adresse IP, ville, type d’appareil, navigateur.
- Ouvrez les détails d’un événement suspect et cliquez sur Ce n’est pas moi le cas échéant.
- Activez les alertes de sécurité par e‑mail et via Microsoft Authenticator.
Révoquer les sessions et renforcer l’accès
- Changez immédiatement le mot de passe du compte (passphrase longue et unique).
- Activez/renforcez la MFA avec Authenticator ou clé FIDO2.
- Vérifiez la section Appareils et sessions : déconnectez les sessions inconnues si l’option est proposée.
- Revoyez les applications ayant accès à votre compte Microsoft ; révoquez celles que vous n’utilisez plus.
Contrôler Outlook : règles, transfert, délégations
- Dans Outlook : Paramètres (roue dentée) > Courrier.
- Inspectez Transfert : désactivez tout renvoi non souhaité.
- Ouvrez Règles : supprimez celles que vous n’avez pas créées (ex. « marquer comme lu et transférer »).
- Vérifiez Boîte aux lettres partagée / Délégation si applicable.
- Examinez les Boîtes d’archives/Éléments envoyés pour repérer des envois que vous n’avez pas faits.
Scanner vos appareils
- Windows : exécutez une analyse complète avec votre antivirus et, si disponible, une analyse hors‑ligne. Installez les mises à jour Windows et pilotes.
- macOS : mettez le système à jour, utilisez un outil antimalware réputé, vérifiez les profils de configuration inconnus.
- Android : activez Play Protect, supprimez les APK d’origine inconnue, mettez à jour l’OS.
- iOS/iPadOS : mettez à jour iOS, supprimez les profils inconnus, vérifiez les réglages VPN/MDM.
Important : cette arnaque n’implique généralement aucune infection. Le scan vise à écarter d’autres menaces sans lien.
Comprendre l’arnaque pour mieux s’en protéger
Nature de l’arnaque
Il s’agit d’une variante de sextorsion apparue massivement depuis plusieurs années : un texte générique, traduit automatiquement, clame avoir activé votre caméra et collecté vos contacts. Le nom « Pegasus » est souvent cité pour son effet anxiogène, mais les cybercriminels n’ont pas ce niveau d’accès dans ces campagnes. Ils jouent sur la peur d’une exposition publique pour extorquer de la cryptomonnaie.
Pourquoi l’adresse d’expéditeur peut sembler être la vôtre
Le protocole e‑mail permet d’afficher un champ From arbitraire. Sans même accéder à votre compte, un expéditeur malveillant peut forger l’adresse visible. Des technologies d’authentification existent (comme la validation par le serveur de réception), mais elles ne sont pas infaillibles ; le résultat est que la présence de votre adresse dans « De : » n’est pas une preuve de piratage.
Absence de preuves techniques
Les messages d’arnaque ne contiennent généralement aucun élément vérifiable : pas de mots de passe récents, pas d’échantillon vidéo, pas de détails techniques. S’ils mentionnent un ancien mot de passe, il provient le plus souvent d’une ancienne fuite publique de données sans lien avec votre messagerie actuelle. Le bon réflexe est d’identifier où ce mot de passe est (ou était) réutilisé, de le changer partout et d’activer la MFA.
Plan d’action priorisé
| Délai | Action | Impact |
|---|---|---|
| Dans l’heure | Vérifier l’activité récente, signaler l’e‑mail comme hameçonnage, ne pas répondre | Écarte l’intrusion et réduit l’exposition |
| Aujourd’hui | Changer le mot de passe, activer MFA, contrôler les règles/transferts Outlook | Bloque les accès non autorisés |
| Cette semaine | Créer un alias principal, auditer les appareils, mettre à jour OS et apps | Renforce la résilience à long terme |
Procédure : créer un alias Outlook et masquer l’ancien identifiant
- Accédez à Votre info dans le compte Microsoft.
- Choisissez Gérer la façon dont vous vous connectez à Microsoft.
- Cliquez sur Ajouter e‑mail puis Créer une nouvelle adresse e‑mail et l’ajouter en tant qu’alias.
- Après création, cliquez sur Définir comme alias principal.
- Sur l’ancien alias, désactivez l’option Peut se connecter si disponible (ou équivalent « masquer pour la connexion »).
- Conservez l’ancien alias pour recevoir le courrier existant et ne pas rompre vos abonnements.
Procédure : activer l’authentification multifacteur
- Ouvrez la section Options de sécurité avancées du compte.
- Ajoutez Microsoft Authenticator (numéro de téléphone uniquement en secours).
- Enregistrez une clé FIDO2 si vous en possédez une (USB/NFC).
- Téléchargez et stockez les codes de récupération hors ligne.
Procédure : signaler l’e‑mail et nettoyer la boîte
- Ouvrez le message > Indésirable ou Signaler > Hameçonnage.
- Bloquez l’expéditeur si nécessaire (utile contre les envois répétés).
- Créez une règle simple qui supprime/dirige en Indésirable les messages contenant certains mots‑clés extrêmes (optionnel).
Quand faut‑il s’inquiéter davantage ?
- Vous voyez des connexions réussies inconnues dans l’activité récente.
- Votre mot de passe Microsoft actuel figure dans l’e‑mail (pas un ancien mot de passe).
- Des règles de transfert vers une adresse externe ont été créées sans votre accord.
- Des e‑mails ont été envoyés à vos contacts sans votre action.
Dans ces cas, suivez immédiatement les procédures de changement de mot de passe, MFA, révocation de sessions et nettoyage des règles, puis prévenez vos contacts les plus proches qu’un message frauduleux a pu partir de votre adresse.
Mythes & réalités
- « Pegasus me cible. » : ces campagnes de sextorsion visent un large public. Les acteurs disposant d’outils hautement sophistiqués ne se dévoilent pas par un e‑mail générique exigeant des cryptos.
- « S’ils m’écrivent depuis mon adresse, ils ont mon compte. » : faux. L’usurpation d’expéditeur est triviale et ne prouve rien.
- « Payer va régler le problème. » : au contraire, vous serez catalogué comme une cible qui paie, augmentant le risque de récidive.
Scénarios et réponses rapides
Vous avez cliqué sur un lien
- Fermez l’onglet, ne renseignez aucune donnée.
- Changez votre mot de passe Microsoft depuis un appareil sûr et activez la MFA.
- Analysez votre appareil, videz le cache navigateur, supprimez les extensions douteuses.
Vous avez ouvert une pièce jointe
- Déconnectez‑vous d’Internet si un comportement inhabituel apparaît.
- Analyse antivirus complète, puis hors‑ligne si disponible.
- Si un fichier a demandé des macros/permissions, considérez une restauration système ou une réinstallation pour repartir d’un environnement sain.
L’e‑mail cite un ancien mot de passe
- Identifiez les services où il est/était réutilisé.
- Changez ces mots de passe, activez MFA partout où possible.
- Supprimez les mails qui contiennent des données sensibles (recevabilité faible mais bon réflexe d’hygiène).
Bonnes pratiques Outlook/Microsoft à vérifier
| Paramètre | Où regarder | Ce qu’il faut faire |
|---|---|---|
| Activité de connexion | Compte Microsoft > Sécurité > Activité | Repérer les connexions inconnues et les signaler |
| Alias et connexion | Votre info > Gérer la connexion | Créer alias, définir alias principal, désactiver connexion via ancien alias |
| MFA | Sécurité > Options avancées | Ajouter Authenticator, clé FIDO2, codes de récupération |
| Transfert | Outlook > Paramètres > Courrier > Transfert | Désactiver tout renvoi non souhaité |
| Règles | Outlook > Paramètres > Courrier > Règles | Supprimer les règles inconnues, surtout « transférer/masquer » |
| Applications connectées | Sécurité > Applications ayant accès | Révoquer l’accès des apps inutilisées |
Modèle de message pour prévenir vos contacts (si nécessaire)
À envoyer uniquement si des e‑mails suspects sont partis de votre boîte.
Objet : Ignorez les messages suspects envoyés depuis mon adresse Bonjour, Mon compte e‑mail a été visé par une tentative d’arnaque. Si vous recevez un message inhabituel (pièce jointe, demande d’argent, lien étrange), ne cliquez pas et supprimez‑le. J’ai sécurisé mon compte (mot de passe/MFA). Merci de votre vigilance.
Foire aux questions
Dois‑je payer pour éviter la diffusion ?
Non. Payer n’offre aucune garantie et renforce votre exposition.
Pourquoi le délai de 48 heures ?
C’est un levier de pression psychologique pour empêcher la vérification et pousser au paiement impulsif.
Comment être sûr que rien n’a été installé ?
Contrôlez l’activité du compte, les règles Outlook et effectuez un scan. Si tout est sain et que vous n’avez ni cliqué, ni installé de programme, vous n’êtes pas infecté.
Changer d’adresse e‑mail est‑il nécessaire ?
Pas forcément. La stratégie alias principal + MFA + hygiène de mot de passe suffit généralement. Changer d’adresse est une option ultime si vous êtes submergé de spam.
Dois‑je déposer plainte ?
Conservez l’e‑mail, ses en‑têtes et toute preuve utile. Selon votre juridiction, vous pouvez signaler l’escroquerie aux autorités compétentes. Cela n’exige pas de payer ni de répondre au fraudeur.
Résumé opérationnel
- Arnaque, pas piratage : l’expéditeur est usurpé.
- Vérifiez l’activité récente ; s’il n’y a pas de connexion réussie inconnue, le compte est intact.
- Sécurisez : alias principal, MFA, mot de passe unique, nettoyage des règles/transferts.
- Signalez l’e‑mail comme hameçonnage et n’interagissez pas avec l’expéditeur.
- Surveillez régulièrement vos paramètres et mettez à jour vos appareils.