Vous venez de recevoir un courriel « envoyé par moi‑même » exigeant une rançon en bitcoins ? Respirez. Dans l’immense majorité des cas, il s’agit d’une extorsion par usurpation d’adresse. Voici comment reconnaître la fraude, vérifier vos comptes et vous protéger durablement.
Vue d’ensemble de la menace
Le scénario est désormais classique : vous recevez un message qui semble provenir de votre propre adresse e‑mail. L’expéditeur prétend avoir piraté votre webcam, volé vos mots de passe et envoyé des liens malveillants à vos contacts. Il exige un paiement (souvent autour de 1 210 $ en bitcoin) sous 48 heures, avec un ton menaçant (« le compte à rebours a commencé »). Vous ne trouvez aucun exemplaire du message dans vos « Éléments envoyés » : c’est normal si l’adresse a simplement été usurpée.
Ce type de chantage est une forme d’hameçonnage d’extorsion (souvent appelée sextorsion). L’objectif n’est pas technique : il est psychologique. Les fraudeurs exploitent la peur, l’urgence et la honte pour vous pousser à payer.
Réponse et solutions
| Problème | Explications & actions recommandées |
|---|---|
| Message « envoyé par soi‑même » | Dans la quasi‑totalité des cas, l’adresse expéditeur est usurpée (spoofing) : le pirate n’a pas besoin d’accéder à votre boîte pour afficher votre adresse. Il forge un courriel qui « semble » venir de vous. |
| Absence de preuve tangible | Aucune capture d’écran, aucun mot de passe récent ou autre élément unique ? C’est un marqueur de fraude. Les escrocs misent sur l’intimidation, pas sur des preuves. |
| Vérifier une véritable intrusion | Consultez l’activité de connexion de votre compte principal (Google, Microsoft, Apple, etc.) : nouvelles sessions, appareils inconnus, connexions depuis des pays inattendus. S’il y a un doute : déconnectez toutes les sessions et changez le mot de passe immédiatement. |
| Analyser l’en‑tête du message | Affichez la source du message et examinez les lignes « Authentication‑Results », « SPF », « DKIM », « DMARC », « Return‑Path » et « Received ». Des résultats comme spf=fail, dkim=none et/ou dmarc=fail indiquent une usurpation. |
| Demande de rançon | Ne payez jamais. Payer ne supprime rien et vous expose à d’autres chantages. Marquez le message comme hameçonnage ou courrier indésirable pour nourrir les filtres antispam. |
| Bonnes pratiques essentielles | Activez l’authentification multifacteur (2FA) partout. Utilisez un gestionnaire de mots de passe et des identifiants longs et uniques. Mettez à jour votre système, votre navigateur et votre antivirus. Exécutez un scan anti‑malware complet sur vos appareils. |
| Vérifier une fuite de données | Consultez un service public de vérification de fuites de données pour savoir si votre adresse a circulé. Si un site ou service apparaît compromis, changez immédiatement le mot de passe associé et révoquez les sessions actives. |
Plan d’action ultra‑pratique en dix minutes
| Étape | Ce que vous faites | Résultat attendu |
|---|---|---|
| 1 | Ne répondez pas, ne payez pas. Conservez le message pour analyse. | Vous coupez l’escalade émotionnelle du pirate. |
| 2 | Marquez le courriel comme hameçonnage/spam. | Votre fournisseur renforce ses filtres. |
| 3 | Ouvrez l’historique de connexions de votre compte e‑mail. | Vérification rapide de toute activité inconnue. |
| 4 | Déconnectez toutes les sessions, changez le mot de passe. | Vous reprenez le contrôle en cas de doute. |
| 5 | Activez ou vérifiez la 2FA (application d’authentification de préférence). | Une barrière supplémentaire contre les accès non autorisés. |
| 6 | Affichez l’en‑tête du message et notez SPF/DKIM/DMARC. | Confirmation technique d’une usurpation éventuelle. |
| 7 | Lancez un scan antivirus/anti‑malware complet. | Exclusion d’une infection locale. |
| 8 | Vérifiez si votre adresse a figuré dans des fuites publiques. | Vous décidez quels mots de passe réinitialiser en priorité. |
| 9 | Prévenez vos proches si vous avez cliqué ou si vous constatez des envois depuis vos comptes. | Réduction de l’impact en chaîne. |
| 10 | Archivez la preuve (en‑tête + corps) au cas où vous signaleriez l’escroquerie. | Traçabilité utile pour un dépôt de plainte. |
Différencier l’usurpation d’adresse du piratage de compte
Deux situations très différentes sont souvent confondues :
| Situation | Signes caractéristiques | Ce qu’il faut faire |
|---|---|---|
| Usurpation d’adresse (spoofing) | Message reçu « de vous », mais rien dans les Éléments envoyés ; en‑tête montrant spf=fail ou dmarc=fail ; chemins SMTP ne passant pas par vos serveurs. | Ne pas payer. Signaler comme phishing. Renforcer les filtres. Aucune réinitialisation systématique nécessaire si aucune activité suspecte de connexion n’est visible. |
| Piratage réel de compte | Connexions inconnues, mots de passe modifiés, messages envoyés à vos contacts depuis votre boîte, règles de transfert ajoutées à votre insu. | Déconnexion globale des sessions, changement de mot de passe et 2FA immédiats. Vérifier les règles de boîte, les transferts et les adresses de récupération. Informer vos contacts. |
Comment lire un en‑tête e‑mail et comprendre SPF, DKIM, DMARC
L’en‑tête (header) est la carte d’identité technique du message. Voici ce qu’il faut regarder :
- Return‑Path : adresse de retour réelle utilisée par le serveur expéditeur.
- Received : liste des relais SMTP traversés, du plus récent au plus ancien.
- Authentication‑Results : résumés des vérifications SPF, DKIM et DMARC.
Guides rapides selon le service
| Service | Chemin d’accès à l’en‑tête |
|---|---|
| Gmail (web) | Ouvrez le message → menu « ⋮ » → Afficher l’original. |
| Outlook pour Windows | Message ouvert → Fichier → Propriétés → zone En‑têtes Internet. |
| Outlook sur le web / Microsoft 365 | Message → « … » → Afficher la source du message. |
| Apple Mail (macOS) | Message → Présentation → En‑têtes bruts (ou similaires selon version). |
| iPhone/iPad Mail | Transférez‑vous le message vers un compte accessible sur ordinateur pour une analyse complète de l’en‑tête. |
Interpréter l’authentification
| Signal | Ce que cela signifie | Probabilité d’usurpation |
|---|---|---|
spf=pass | Le serveur expéditeur est autorisé pour le domaine du champ Mail From. | Faible (mais pas nul si d’autres signaux échouent). |
dkim=pass | La signature cryptographique du domaine signataire est valide. | Faible (le domaine signataire peut différer du From visuel). |
dmarc=pass | Alignement cohérent entre From, SPF et/ou DKIM. | Faible. |
spf=fail et/ou dkim=none/fail + dmarc=fail | Le message n’est pas autorisé par la politique du domaine et ne présente pas de signature valide. | Élevée : usurpation très probable. |
Exemple d’extraits d’en‑tête suspects
Authentication-Results: dmarc=fail (p=reject) header.from=exemple.com Authentication-Results: spf=fail smtp.mailfrom=exemple.com Authentication-Results: dkim=none (message not signed) Return-Path: <abc@autredomaine.xyz> Received: from serveur-inconnu.tld (203.0.113.21) by mx.votrefournisseur.net ...
Si votre Return‑Path et la chaîne des « Received » n’impliquent jamais vos serveurs légitimes, le message n’a pas été expédié depuis votre boîte.
Et si un « vrai » mot de passe apparaît dans le message ?
Certains escrocs affichent un ancien mot de passe lié à votre adresse. Cela provient en général d’une ancienne fuite de données récupérée sur des forums ou des bases publiques. Réagissez ainsi :
- Changez immédiatement ce mot de passe et tous ceux des services où vous l’auriez réutilisé.
- Activez la 2FA sur les comptes concernés.
- Révoquez les sessions et appareils connectés.
La présence d’un mot de passe ne prouve pas un accès à votre webcam ni une compromission actuelle de votre appareil.
Que faire si vous avez cliqué, téléchargé ou payé ?
Après un clic sur un lien
- Fermez l’onglet. Ne saisissez aucune information d’identification.
- Exécutez un scan anti‑malware complet.
- Changez vos mots de passe critiques (e‑mail principal, banques, réseaux sociaux) par précaution.
Après le téléchargement d’une pièce jointe
- Déconnectez l’appareil d’Internet si le fichier a été ouvert.
- Lancez une analyse approfondie. Si nécessaire, restaurez depuis une sauvegarde saine.
Après un paiement
- Conservez la preuve (adresses, montant, en‑tête, corps du message).
- Signalez l’escroquerie à votre autorité locale compétente. Même si le remboursement est improbable, le signalement nourrit le renseignement et les enquêtes.
Paramètres à vérifier côté compte e‑mail
Un pirate qui accéderait réellement à votre boîte chercherait souvent à persister. Contrôlez :
- Règles de boîte : suppression/archivage automatiques, transfert vers une adresse inconnue.
- Adresses de récupération et numéro de téléphone associés à votre compte.
- Applications et appareils ayant accès à votre boîte.
- Historique de connexions (emplacements, IP, systèmes). Déconnectez tout ce qui est inconnu.
Prévenir durablement les extorsions par e‑mail
Hygiène de mots de passe
- Mots de passe longs (15 + caractères), uniques par service.
- Gestionnaire de mots de passe avec générateur intégré.
- Rotation ciblée : changez en priorité les services exposés dans une fuite.
Authentification multifacteur
- Privilégiez les applications d’authentification plutôt que le SMS.
- Conservez des codes de secours dans un emplacement sûr.
Hygiène système
- Mises à jour automatiques activées (OS, navigateur, extensions).
- Antivirus/antimalware avec protection en temps réel.
- Prudence extrême avec les pièces jointes et les macros.
Réduire l’exposition de votre e‑mail
- Évitez de publier votre adresse principale sur des pages publiques.
- Créez des alias pour l’inscription à des services à risque.
- Désabonnez‑vous plutôt que de « se désinscrire » via un bouton douteux dans un spam.
Pour les environnements professionnels
Si vous administrez une messagerie d’entreprise, quelques garde‑fous efficaces :
- Déployer DMARC en mode reject après un inventaire complet des sources d’envoi et une période de monitoring.
- Appliquer l’alignement SPF/DKIM avec le domaine d’affichage (From).
- Ajouter des règles bloquant les messages externes qui prétendent venir du domaine interne si l’authentification échoue.
- Activer l’isolation des liens et l’analyse des pièces jointes dans votre passerelle e‑mail.
- Former les utilisateurs (campagnes de sensibilisation, bannières d’avertissement pour les courriels externes).
Modèles utiles
Message simple à vos contacts
Bonjour,
Si vous recevez un message inhabituel qui semble venir de moi (demande d’argent, pièces jointes ou liens suspects), ne cliquez pas et supprimez‑le. Mon adresse a probablement été usurpée. Je sécurise mes comptes par précaution. Merci !
Note interne de signalement (synthèse)
- Objet : Extorsion par e‑mail usurpé
- Date/heure : [indiquez]
- Adresse visée : [indiquez]
- Symptômes : message « de moi » exigeant bitcoins, pas d’envoi dans les éléments envoyés
- Mesures prises : marquage spam, analyse en‑tête (SPF/DKIM/DMARC), réinitialisation mot de passe, 2FA, scan
- Preuves : en‑tête complet + corps du message en annexe
Foire aux questions
Pourquoi le message n’apparaît‑il pas dans mes « Éléments envoyés » ?
Parce qu’il n’a pas été envoyé depuis votre boîte. Le pirate a fabriqué un courriel affichant votre adresse dans le champ « From », sans authentification valide.
Les paiements en cryptomonnaies sont‑ils anonymes ?
Ils sont pseudonymes. Les transactions restent traçables publiquement, mais relier une adresse à une identité peut être difficile. Les escrocs exploitent cette opacité perçue pour intimider.
Dois‑je porter plainte ?
Si vous avez subi un préjudice (paiement, fraude, vols de comptes) ou si la campagne vise votre organisation, conservez les preuves et signalez l’escroquerie aux autorités compétentes. Même sans remboursement, chaque signalement contribue à démanteler les réseaux.
Le pirate peut‑il vraiment activer ma webcam à distance ?
Techniquement possible si un logiciel malveillant est installé auparavant, mais rare dans ces campagnes d’extorsion. Sans signe d’infection (processus suspects, lenteurs soudaines, outils de sécurité alertant), l’affirmation est quasi toujours mensongère. Un scan complet reste prudent.
Je vois « SPF pass » mais « DMARC fail » : que conclure ?
SPF peut réussir pour un domaine technique différent du From visuel. Si l’alignement DMARC échoue, l’expédition n’est pas autorisée pour le domaine affiché. C’est un indicateur fort d’usurpation.
Checklist visuelle de vérification
| Contrôle | Où regarder | Signal d’alerte | Action |
|---|---|---|---|
| Présence dans « Éléments envoyés » | Votre boîte e‑mail | Aucun envoi correspondant | Usurpation probable → ne pas payer |
| Activité de connexion | Paramètres de sécurité du compte | Appareils/pays inconnus | Déconnexion globale + mot de passe + 2FA |
| En‑tête SPF/DKIM/DMARC | Source du message | fail ou none répétés | Signaler comme phishing, supprimer |
| Preuve concrète dans le message | Corps du courriel | Absence de données uniques | Ignorer, ne pas dialoguer |
| Présence d’un mot de passe exposé | Corps du courriel | Mot de passe ancien réutilisé | Changer partout où il est utilisé |
Glossaire express
- Spoofing : usurpation d’adresse de l’expéditeur pour tromper le destinataire.
- SPF : liste de serveurs autorisés à envoyer du courrier pour un domaine.
- DKIM : signature cryptographique permettant de valider l’intégrité du message.
- DMARC : politique déclarant comment traiter les e‑mails qui échouent l’alignement SPF/DKIM.
- Sextorsion : extorsion fondée sur une menace de divulgation d’images ou vidéos intimes.
Bonnes pratiques récapitulatives
- Pas la moindre preuve ? Suppression immédiate après signalement comme hameçonnage.
- Authentification à deux facteurs et mots de passe uniques restent vos meilleurs remparts.
- Ne versez jamais de rançon : vous financez l’arnaque et vous vous exposez à d’autres chantages.
- Analysez l’en‑tête si vous voulez une confirmation technique de l’usurpation.
- Surveillez l’activité de connexion et révoquez les sessions inconnues sans attendre.
Exemple de politique personnelle anti‑extorsion
Vous pouvez formaliser des réflexes simples, seuls ou en équipe :
- Tout e‑mail réclamant un paiement urgent est présumé frauduleux jusqu’à preuve du contraire.
- Aucune décision de paiement n’est prise sans double validation et délai de refroidissement (au moins 24 h).
- Les demandes sensibles ne sont jamais traitées par e‑mail seul ; elles sont confirmées via un canal indépendant (téléphone connu, messagerie d’équipe).
Conclusion
Le courriel « envoyé par moi‑même » réclamant des bitcoins relève presque toujours d’une usurpation. La peur est son seul moteur. En appliquant la méthode ci‑dessus — vérification des connexions, 2FA, analyse des en‑têtes et hygiène numérique — vous neutralisez la pression et renforcez durablement votre sécurité.