Vous trouvez dans le dossier Spam des courriels d’extorsion qui semblent venir de votre propre adresse Outlook ? Pas de panique : voici comment distinguer l’usurpation (« spoofing ») d’un vrai piratage et sécuriser votre compte pas à pas.
Vue d’ensemble
Dans de nombreuses campagnes de sextorsion, l’expéditeur affiche votre adresse dans le champ From:. C’est déstabilisant, mais ce n’est pas forcément la preuve d’un malware ni d’un piratage de compte. Les cybercriminels savent falsifier l’en-tête « De » pour contourner la vigilance. L’objectif de cet article est de vous aider à :
- comprendre pourquoi votre propre adresse peut apparaître comme expéditeur ;
- vérifier rapidement si votre compte a réellement été compromis ;
- appliquer les bons correctifs dans Outlook et Microsoft 365 ;
- renforcer durablement la sécurité (SPF, DKIM, DMARC, MFA, hygiène des mots de passe).
Pourquoi un courriel affiche votre adresse comme expéditeur ?
Usurpation d’adresse (« spoofing »)
Le protocole e‑mail a été conçu à l’origine sans authentification stricte. Résultat : un attaquant peut fabriquer un message en écrivant n’importe quelle adresse dans le champ From:, y compris la vôtre, sans accéder à votre boîte. Il envoie ensuite le message depuis un serveur tiers ou un service détourné. Si les contrôles d’authentification du domaine expéditeur (SPF, DKIM, DMARC) manquent ou échouent, la plupart des systèmes marqueront ce message comme indésirable – mais l’adresse affichée reste la vôtre, ce qui entretient la confusion.
Compte réellement compromis
Autre scénario : vos identifiants ont fuité (mot de passe réutilisé, phishing, keylogger, etc.). L’attaquant se connecte à votre compte Outlook/Exchange et envoie des messages depuis votre propre serveur. Des traces existent alors : connexions suspectes, messages dans « Éléments envoyés », règles de transfert ajoutées, applications OAuth inconnues, etc. Dans ce cas, il faut traiter l’incident comme une compromission complète.
Logiciel malveillant local
Un malware (stealer, RAT, macro malveillante) peut aussi envoyer des e‑mails via votre client Outlook local, parfois sans passer par les serveurs Microsoft. Cela laisse peu de traces côté serveur, mais beaucoup côté machine (processus suspects, plugins Outlook, tâches planifiées, etc.). Une analyse antivirus sérieuse s’impose.
Rôle de SPF, DKIM et DMARC
Ces mécanismes d’authentification aident les serveurs destinataires à juger si un message « au nom » de votre domaine est légitime.
- SPF : liste les serveurs autorisés à envoyer pour votre domaine.
- DKIM : signe cryptographiquement le contenu afin d’en garantir l’intégrité et la provenance.
- DMARC : définit la politique (none/quarantine/reject) à appliquer lorsque SPF/DKIM échouent et alimente des rapports.
Si vous utilisez un domaine personnalisé avec Microsoft 365, configurez ces enregistrements pour réduire drastiquement l’usurpation de vos adresses et protéger vos contacts. Pour les adresses @outlook.com/@hotmail.com, Microsoft gère déjà ces contrôles côté domaine, mais un escroc peut toujours afficher votre adresse dans le champ « From » ; heureusement, les filtres le détectent souvent et envoient le message en Spam.
Réponse & solutions proposées
| Problème | Explications | Mesures recommandées |
|---|---|---|
| Usurpation d’adresse (« spoofing ») | Le champ « From: » peut être falsifié : un expéditeur malveillant écrit n’importe quelle adresse (y compris la vôtre) sans accéder à la boîte concernée. | Ne cliquez sur aucun lien ni pièce jointe. Supprimez simplement le message si les en‑têtes confirment l’usurpation. Signalez‑le à Outlook (Signaler > Hameçonnage) pour entraîner les filtres. |
| Compte potentiellement compromis | Si le message provient réellement de votre propre serveur SMTP (ou si des connexions suspectes apparaissent), un attaquant dispose de vos identifiants. | Changez le mot de passe depuis un appareil sain et hors‑ligne. Activez la double authentification (MFA). Vérifiez les réglages Outlook : règles de transfert, réponses automatiques, délégations, comptes connectés. Révoquez les sessions et appareils inconnus dans votre tableau de bord Microsoft. |
| Malware local | Un logiciel espion peut envoyer des mails via votre client Outlook sans passer par le serveur Microsoft ; les traces sont alors locales. | Déconnectez‑vous d’Internet, puis lancez une analyse antivirus/antispyware complète sur chaque appareil. Mettez à jour OS, navigateur, client mail et antivirus. |
| Authentification des domaines | La présence ou l’absence de SPF, DKIM et DMARC influence la possibilité d’usurpation et la manière dont les serveurs destinataires traitent le message. | Si vous gérez votre domaine, implémentez ces enregistrements DNS (voir l’annexe ci‑dessous) pour limiter le spoofing sortant et protéger vos contacts. |
Comment confirmer une usurpation en lisant les en‑têtes ?
Affichez l’en‑tête complet (aussi appelé « source du message ») et recherchez :
- Return‑Path : l’adresse d’enveloppe utilisée par le serveur d’envoi. Si elle ne correspond pas à Microsoft ni à votre domaine, c’est très probablement un faux.
- Received: from (le plus ancien) : indique le premier serveur ayant pris en charge le message. Un domaine/une IP inconnue suggère une usurpation.
- Authentication‑Results : montrez si
spf=pass/fail,dkim=pass/fail,dmarc=pass/fail. Des échecs répétés confortent l’hypothèse d’un spoofing. - Sender / Reply‑To : parfois différents du
From:, ils trahissent l’adresse de réponse réelle de l’attaquant.
Exemple d’extraits d’en‑tête (fictifs)
From: "Vous-même" <prenom.nom@exemple.com>
Return-Path: <campaign-89321@spammer.biz>
Received: from mail-12.spammer.biz (203.0.113.12) by ...
Authentication-Results: spf=fail; dkim=fail; dmarc=failMalgré le « From » identique à votre adresse, les autres champs prouvent que le message n’a pas été envoyé depuis votre infrastructure.
Où trouver les en‑têtes dans Outlook ?
- Outlook sur le web (Outlook.com / Microsoft 365) : ouvrez le message > menu « … » (Plus d’actions) > Afficher la source du message (ou En‑têtes du message selon la version).
- Outlook pour Windows (nouvelle expérience) : ouvrez le message > « … » > Afficher la source du message.
- Outlook classique pour Windows : double‑cliquez pour ouvrir le message > Fichier > Propriétés > En‑têtes Internet.
- Outlook pour Mac : sélectionnez le message > Message > Affichage de la source (ou via « … »).
- Applications mobiles : selon la version, une option Afficher l’en‑tête peut être présente ; sinon, transférez‑vous le message vers un client qui permet de voir la source.
Plan d’action rapide, pas à pas
Scénario A — usurpation (spoofing)
- Ne répondez pas, ne payez pas, ne cliquez pas.
- Vérifiez les en‑têtes ; conservez une copie du message complet (utile en cas de signalement).
- Signalez le message comme Hameçonnage dans Outlook.
- Si vous gérez un domaine : mettez en place/renforcez SPF, DKIM et DMARC (voir annexe).
Scénario B — compte compromis
- Passez hors‑ligne avec l’appareil le plus fiable.
- Changez immédiatement le mot de passe (long, unique, stocké dans un gestionnaire) et activez la MFA (application d’authentification ou clé de sécurité).
- Fermez les sessions et révoquez les appareils/applications inconnus (section Sécurité de votre compte Microsoft).
- Outlook & Exchange : supprimez toute règle de transfert/suppression, contrôlez Réponses automatiques, Délégations, Comptes connectés, Boîtes partagées.
- Examinez « Éléments envoyés » et Éléments supprimés pour identifier des envois malveillants.
- Analysez chaque appareil qui accède à la boîte (PC, Mac, smartphone).
Scénario C — suspicion de malware
- Déconnectez l’appareil du réseau (Wi‑Fi/ethernet hors service).
- Lancez un scan complet avec votre antivirus/anti‑malware ; mettez à jour les signatures.
- Contrôlez les programmes au démarrage, tâches planifiées, modules Outlook inconnus.
- Si nécessaire, sauvegardez vos données et effectuez une réinstallation propre de l’OS.
- Changez les mots de passe après assainissement, depuis un appareil sain.
Vérifications essentielles dans Outlook et Microsoft 365
Règles, transferts et filtres
- Outlook sur le web : Paramètres (roue dentée) > Courrier > Règles. Supprimez toute règle inconnue (ex. : « déplacer tout vers éléments supprimés », « transférer vers adresse externe »).
- Outlook pour Windows (classique) : Fichier > Gérer les règles et alertes.
- Transfert : Paramètres > Courrier > Transfert. Désactivez tout transfert non autorisé.
Réponses automatiques et délégations
- Paramètres > Réponses automatiques : vérifiez qu’aucun message automatique malveillant n’a été configuré.
- Paramètres > Accès délégué / Boîtes partagées : supprimez tout accès non reconnu.
Connexions et appareils
- Tableau de bord du compte Microsoft > Sécurité > Activité : repérez des journées/heures/ip/lieux anormaux.
- Révoquez les appareils de confiance que vous ne reconnaissez pas et regénérez les mots de passe d’application si vous en aviez.
- Contrôlez la liste des applications tierces ayant accès à votre compte et supprimez celles qui sont inconnues.
Authentification multifacteur (MFA)
- Activez MFA pour le compte ; privilégiez une application d’authentification (TOTP) ou une clé de sécurité FIDO2.
- Créez des codes de secours et conservez‑les dans un coffre hors ligne.
Erreurs courantes à éviter
- Payer la rançon : cela n’efface rien et vous expose à d’autres tentatives.
- Réutiliser le même mot de passe après l’incident : utilisez un gestionnaire et des mots de passe uniques.
- Changer le mot de passe depuis un appareil potentiellement infecté : faites‑le depuis une machine saine.
- Ignorer les règles de boîte : c’est la méthode n°1 des attaquants pour se cacher.
Pourquoi Outlook l’a quand même classé en Spam ?
Les filtres de Microsoft s’appuient sur des signaux nombreux (réputation d’IP/domaines, contenus typiques d’escroquerie, résultats SPF/DKIM/DMARC, structures d’URL, métriques comportementales, etc.). Le fait que « From » affiche votre adresse n’annule pas ces indices. Ainsi, même si l’adresse est « la vôtre », le message part souvent directement en courrier indésirable.
Sextorsion & Bitcoin : menace creuse, psychologie forte
Ces e‑mails jouent sur la peur et l’urgence. Les affirmations du type « on vous a filmé via la webcam » ou « nous avons piraté votre compte » font partie d’un texte réutilisé en masse. Si un vieux mot de passe apparaît, il provient généralement d’une fuite publique sans lien direct avec votre appareil. La bonne réaction est de ne pas répondre, de ne pas payer et d’appliquer les étapes de vérification/assainissement ci‑dessus.
Checklist de résolution (imprimable)
| Fait | Action | Détails / Où |
|---|---|---|
| ☐ | Lire la source du message | Outlook > … > Afficher la source ; vérifier Return‑Path/Received/Authentication‑Results |
| ☐ | Signaler l’hameçonnage | Outlook > Signaler > Hameçonnage |
| ☐ | Changer le mot de passe depuis un appareil sain | Compte Microsoft > Sécurité |
| ☐ | Activer MFA | Informations de sécurité > Méthodes d’authentification |
| ☐ | Vérifier règles/transferts | Outlook > Paramètres > Courrier > Règles / Transfert |
| ☐ | Révoquer sessions/appareils inconnus | Compte Microsoft > Sécurité > Activité |
| ☐ | Analyser tous les appareils | Antivirus, antimalware, mises à jour |
| ☐ | Mettre en place SPF/DKIM/DMARC (si domaine perso) | DNS du domaine > enregistrements TXT/CNAME |
Mini‑guide pratique : repérer l’arnaque sur la forme
| Indice visuel | Explication | Que faire |
|---|---|---|
| Nom d’affichage correct mais adresse obfusquée | « Vous‑même » <micros0ft‑support@out1ook‑safe.com> | Vérifier l’adresse complète, pas uniquement le nom |
| Caractères ressemblants (homographes) | lettres Unicode trompeuses : « rn » ≈ « m », « о » cyrillique ≈ « o » latin | Copier l’adresse dans un éditeur en texte brut et comparer |
| Ultimatum et menaces de diffusion | Exigent un paiement rapide en cryptomonnaie | Ignorer, ne pas payer, suivre la checklist |
| Pièces jointes inattendues | Fichiers .zip/.html/.exe ou macros Office | Ne jamais ouvrir, supprimer |
Annexe pour administrateurs : SPF/DKIM/DMARC (domaine personnalisé)
Si vous envoyez via Microsoft 365 avec votre propre domaine (votredomaine.tld), implémentez des enregistrements standards :
SPF
Type: TXT
Nom: @
Valeur: v=spf1 include:spf.protection.outlook.com -all
TTL: 1h (ou selon votre politique)DKIM
Type: CNAME
Nom: selector1._domainkey
Valeur: selector1-votredomaine-tld._domainkey.<votre locataire>.onmicrosoft.com.
Type: CNAME
Nom: selector2._domainkey
Valeur: selector2-votredomaine-tld._domainkey..onmicrosoft.com.Activez DKIM dans le centre d’administration une fois les CNAME propagés.
DMARC
Type: TXT
Nom: _dmarc
Valeur: v=DMARC1; p=reject; rua=mailto:dmarc@votredomaine.tld; ruf=mailto:dmarc-fail@votredomaine.tld; fo=1; adkim=s; aspf=s; pct=100p=rejectbloque les usurpations nettes. Vous pouvez démarrer avecp=quarantineetpct=20pour une montée en charge contrôlée.ruaetrufreçoivent les rapports agrégés et forensic ; créez des boîtes dédiées.adkim/aspf=sexigent un alignement strict.
FAQ
Dois‑je répondre ou payer ?
Non. Répondre confirme que l’adresse est active ; payer vous expose à d’autres chantages. Supprimez, signalez, appliquez la checklist.
Le message cite un de mes mots de passe. Ont‑ils piraté ma machine ?
Généralement non. Les escrocs recyclent des mots de passe issus d’anciennes fuites de données publiques. Changez immédiatement tous les mots de passe réutilisés et activez la MFA.
Comment empêcher définitivement l’usurpation de mon adresse ?
On ne peut pas empêcher quelqu’un d’écrire votre adresse dans « From ». En revanche, avec SPF/DKIM/DMARC correctement configurés sur votre domaine, les serveurs destinataires rejetteront/quarantineront la plupart des usurpations, ce qui protège vos correspondants et réduit l’impact des campagnes.
Pourquoi certains messages de spoofing atterrissent quand même dans la boîte de réception ?
Les filtres antispam visent un équilibre entre délivrabilité et sécurité. Des attaquants exploitent des services compromis ou des réputations temporaires « propres ». Signalez systématiquement les cas pour améliorer la détection.
Bonnes pratiques pérennes
- Gestionnaire de mots de passe, mots de passe uniques (passphrases longues), MFA partout où c’est possible.
- Surveillez régulièrement Activité du compte et règles dans Outlook.
- Tenez OS, navigateurs, Office et antivirus à jour (mises à jour automatiques activées).
- Activez l’isolement des pièces jointes potentiellement dangereuses et désactivez l’exécution automatique des macros.
- Pour les domaines personnalisés : SPF/DKIM/DMARC correctement configurés et surveillés (rapports DMARC lus et traités).
Résumé
Voir votre propre adresse Outlook comme expéditeur d’un message d’extorsion n’est pas automatiquement synonyme de piratage : dans la majorité des cas, il s’agit d’une usurpation du champ From. La méthode fiable consiste à lire les en‑têtes (Return‑Path, Received, Authentication‑Results) puis à agir : signaler, supprimer et, si besoin, sécuriser votre compte (changement de mot de passe depuis un appareil sain, activation de la MFA, nettoyage des règles/transferts, révocation des sessions, analyses antivirus). Grâce à ces démarches, vous éliminez le risque immédiat et durcissez durablement votre surface d’attaque.
Cas réel : une utilisatrice découvre dans son Spam deux messages de sextorsion prétendument envoyés depuis sa boîte Outlook. Après lecture des en‑têtes, le Return‑Path pointait vers un domaine tiers et spf/dkim/dmarc=fail. Elle a signalé et supprimé les messages. Par précaution, elle a changé son mot de passe depuis un ordinateur non contaminé, activé la MFA, supprimé une règle de transfert dissimulée, révoqué des sessions inconnues et lancé une analyse antivirus. Résultat : compte sécurisé, aucun envoi malveillant ultérieur.