MENU
  1. Accueil
  2. MS Office
  3. Outlook
  4. Arnaque Pegasus dans Outlook : faux courriel d’extorsion, spoofing « Envoyé par moi » et mesures de protection

Arnaque Pegasus dans Outlook : faux courriel d’extorsion, spoofing « Envoyé par moi » et mesures de protection

Outlook

Un e‑mail déposé en spam prétend que « Pegasus » a infecté votre appareil et exige une rançon en cryptomonnaie ? Respirez : c’est une arnaque d’extorsion. Voici comment vérifier, se protéger et tourner la page en toute sécurité.

Sommaire

Courriel d’extorsion prétendant installer le logiciel espion « Pegasus »

Vue d’ensemble de la question

Un utilisateur a reçu un message dans son dossier « Courrier indésirable » affirmant que le logiciel espion Pegasus avait été installé sur son appareil. Les escrocs menaçaient de diffuser des vidéos compromettantes s’il ne payait pas une rançon en cryptomonnaie. La mention « Envoyé par moi » dans Outlook a renforcé l’anxiété, avec trois inquiétudes immédiates :

  • S’agit‑il d’un danger réel ?
  • Comment prouver que l’expéditeur n’est pas le propriétaire du compte ?
  • Quelles mesures prendre pour se protéger ?

Réponse et solution

Diagnostic : il s’agit d’une arnaque d’extorsion (« sextorsion ») très répandue. Aucune preuve concrète n’indique que Pegasus ou un autre logiciel espion est présent sur votre appareil. Les fraudeurs recyclent un scénario d’intimidation pour pousser au paiement.

Actions immédiates recommandées

  1. Supprimer et signaler le message comme indésirable : ne répondez jamais et ne payez pas.
  2. Vérifier l’en‑tête complet dans Outlook (Windows : Fichier ▸ Propriétés ▸ En‑têtes Internet) pour constater l’usurpation du champ « From » (spoofing).
  3. Changer le mot de passe de votre compte de messagerie et activer l’authentification à deux facteurs (2FA).
  4. Analyser l’appareil avec un antivirus/antimalware à jour : par précaution et pour se rassurer.
  5. Mettre à jour le système et les applications (navigateur, extensions, plug‑ins).
  6. Revoir les règles et redirections dans Outlook/Exchange pour détecter toute règle suspecte de transfert automatique.
  7. Conserver une copie du courriel et, si vous le souhaitez, le signaler à votre fournisseur de messagerie, à la plateforme gouvernementale de cybersignalement de votre pays ou à la police si la menace est ciblée.

Pourquoi Outlook affiche « Envoyé par moi »

Les escrocs modifient simplement le champ « From » (spoofing SMTP) pour le faire ressembler à votre adresse. Les protections modernes (SPF, DKIM, DMARC) détectent souvent l’anomalie et classent le message en spam, mais l’interface peut afficher votre nom/adresse pour conserver une présentation uniforme du fil. Cela ne signifie pas que votre compte a été piraté.

Signes caractéristiques d’une fausse menace

  • Absence de preuve vérifiable : aucun élément exclusif ni détail intime précis.
  • Pression temporelle et ton alarmiste pour bousculer votre jugement.
  • Exigence de cryptopaiement, souvent avec un compte anonyme.
  • Langue approximative ou tournures maladroites, même si certains messages sont soignés.

Guide pas à pas dans Outlook

Sur le Web

  1. Ouvrez Outlook sur le Web, allez dans Paramètres (icône ⚙️) ▸ Courrier.
  2. Dans Règles, supprimez toute règle inconnue (ex. : transfert vers une adresse externe, suppression automatique).
  3. Dans Transfert, assurez‑vous qu’aucune redirection non autorisée n’est activée.
  4. Dans Junk email ou Courrier indésirable, vérifiez la liste des expéditeurs autorisés/bloqués.

Outlook pour Windows

  1. Fichier ▸ Informations ▸ Gérer les règles et alertes : désactivez/supprimez les règles suspectes.
  2. Fichier ▸ Informations ▸ Paramètres du compte ▸ Fichiers de données : vérifiez qu’aucune boîte aux lettres partagée ou compte inconnu n’est associé.
  3. Fichier ▸ Options ▸ Centre de gestion de la confidentialité ▸ Paramètres : activez les contrôles de sécurité (désactivation des macros non signées, des téléchargements automatiques, etc.).

Outlook pour Mac

  1. Outils ▸ Règles : supprimez toute règle non reconnue.
  2. Préférences ▸ Comptes : revoyez les alias et délégations.

iOS et Android

  1. Dans l’app Outlook, ouvrez Paramètres.
  2. Vérifiez les Comptes : supprimez les comptes non reconnus, contrôlez les signatures et options de synchronisation.
  3. Si vous utilisez l’app Mail native, référez‑vous aux réglages du compte (serveurs, profils, redirections).

Vérifier les en‑têtes SMTP en pratique

Les en‑têtes complets révèlent le « chemin » du message et les résultats SPF/DKIM/DMARC. Voici comment les lire et quoi chercher.

Où afficher les en‑têtes

  • Outlook Windows : ouvrez le message ▸ FichierPropriétésEn‑têtes Internet.
  • Outlook sur le Web : ouvrez le message ▸ Plus d’actions (⋯) ▸ Afficher la source du message.
  • Outlook Mac : AffichageMessage ▸ Internet Headers (ou via clic droit ▸ Afficher la source selon version).

Ce qu’il faut vérifier

IndicateurCe que vous verrezCe que cela signifie
ReceivedListe de serveurs ayant relayé le messageUn serveur initial sans rapport avec votre domaine indique un envoi externe
FromVotre adresse ou votre nomPeut être usurpé sans accès à votre compte
Return‑PathAdresse de rebond différente du « From »Fort signe de spoofing
SPFspf=fail ou softfailLe serveur source n’est pas autorisé à envoyer pour ce domaine
DKIMdkim=fail ou signature absenteMessage non signé ou altéré
DMARCdmarc=failAlignement d’identité non respecté, probable usurpation

Exemple simplifié d’en‑tête suspect

Received: from smtp123.badhost.example (203.0.113.77)
    by mx.votre-domaine.tld with ESMTP id 12345;
From: "Votre Nom" <vous@votre-domaine.tld>
Return-Path: attacker@evil-domain.xyz
Authentication-Results: mx.votre-domaine.tld;
    spf=fail (badhost.example: domain of vous@votre-domaine.tld does not designate 203.0.113.77)
    dkim=none
    dmarc=fail
Subject: J'ai piraté ta caméra

Dans cet exemple, le serveur d’origine badhost.example n’a aucun lien avec votre domaine, et SPF/DKIM/DMARC échouent : c’est du spoofing.

SPF, DKIM, DMARC en clair

Ces trois mécanismes aident les serveurs de messagerie à distinguer un message légitime d’un message usurpé.

  • SPF vérifie si le serveur expéditeur est autorisé par le domaine de l’adresse « From ».
  • DKIM appose une signature numérique au message pour garantir son intégrité.
  • DMARC indique la politique à appliquer si SPF/DKIM ne confirment pas l’identité (quarantaine, rejet, rien).

Pour un message réellement envoyé depuis votre compte, SPF/DKIM devraient réussir et DMARC être en pass. Si vous voyez fail ou none, l’« expéditeur » est presque certainement un imposteur.

Contrôle antivirus et hygiène numérique

Bien qu’une infection soit improbable dans ce scénario, un contrôle de santé numérique renforce votre tranquillité d’esprit et ferme d’éventuelles portes.

  1. Mettez à jour Windows/macOS, le navigateur, les extensions et vos applications.
  2. Lancez une analyse complète avec votre antivirus/antimalware. Supprimez tout élément détecté, redémarrez.
  3. Désinstallez les programmes inconnus ou récemment ajoutés qui semblent suspects.
  4. Vérifiez les extensions du navigateur : supprimez celles que vous n’utilisez pas ou ne reconnaissez pas.
  5. Réinitialisez les mots de passe critiques (messagerie, comptes financiers) et activez la 2FA partout où c’est possible.
  6. Sauvegardez vos fichiers importants hors ligne ou dans un stockage sécurisé chiffré.

Préserver les preuves et signaler

Si vous décidez de signaler l’incident :

  • Conservez le message avec ses en‑têtes complets (capture d’écran + export EML si possible).
  • Notez la date/heure de réception, l’objet, l’adresse affichée et les éléments techniques (résultats SPF/DKIM/DMARC).
  • Contactez votre fournisseur de messagerie via son canal de lutte contre les abus (par exemple, l’adresse abuse de votre fournisseur).
  • Déclarez l’arnaque sur la plateforme officielle de votre pays dédiée au cyber‑signalement, et au besoin à la police si la menace est très ciblée ou vous met en danger.

Et si c’était vraiment une compromission

La sextorsion par e‑mail se contente généralement de vous effrayer sans avoir accès à vos appareils. Toutefois, si vous observez des symptômes concrets (envois inconnus depuis votre boîte, connexions anormales, règles de transfert ajoutées sans votre accord), appliquez immédiatement ce plan renforcé :

  1. Changez le mot de passe depuis un appareil sûr que vous contrôlez, activez/renforcez la 2FA.
  2. Révoquez les sessions et appareils connectés dont vous ne reconnaissez pas l’origine (fonction « appareils / sessions » de votre fournisseur).
  3. Supprimez toutes les règles de boîte aux lettres que vous n’avez pas créées, y compris les redirections.
  4. Examinez les applications tierces qui auraient accès à votre boîte (connecteurs, add‑ins) et retirez les autorisations inutiles.
  5. Contrôlez vos autres comptes utilisant la même adresse comme identifiant : changez les mots de passe et activez la 2FA.
  6. Envisagez un accompagnement pro si des données sensibles d’entreprise sont en jeu.

Bonnes pratiques pour l’avenir

  • Éduquer famille, collègues, proches aux arnaques d’extorsion.
  • Utiliser des mots de passe uniques avec un gestionnaire.
  • Activer la 2FA systématiquement.
  • Sauvegarder régulièrement et tester la restauration.
  • Limiter l’exposition de vos adresses e‑mail en public.
  • Garder un système et des logiciels à jour.

Tableau de décision rapide

SituationAction immédiatePourquoi
Message « Envoyé par moi » en spamNe répondez pas, signalez comme indésirableLe champ « From » peut être usurpé sans accès à votre compte
Menace de divulgation + demande de cryptoIgnorer, ne pas payerScénario d’extorsion standard, sans preuve
SPF/DKIM/DMARC en échecSupprimer, bloquer l’expéditeurIndicateur technique d’usurpation
Règles/Transferts inconnusSupprimer et changer le mot de passePeut trahir une compromission de la boîte
Symptômes d’infection systèmeAnalyse antivirus complète + mise à jourÉliminer les malwares opportunistes

Foire aux questions

Le nom « Pegasus » signifie‑t‑il que j’ai été infecté ?

Non. Les escrocs utilisent des mots‑clés connus pour effrayer. Sans preuve spécifique (journal d’événements, détection technique, éléments concrets), considérez ce message comme une tentative d’extorsion générique.

Comment prouver que l’expéditeur n’est pas moi ?

Affichez les en‑têtes complets : vous constaterez souvent un serveur d’envoi sans lien avec votre domaine, un Return‑Path différent, et des échecs SPF/DKIM/DMARC. Ces données montrent que votre adresse a été usurpée.

Dois‑je changer tous mes mots de passe ?

Changez d’abord celui de la messagerie et des services critiques. Activez la 2FA. Si vous réutilisiez ce mot de passe ailleurs, changez‑le aussi sur ces services.

Dois‑je payer pour éviter la divulgation ?

Non. Payer encourage l’extorsion et n’apporte aucune garantie. Ignorez, signalez et renforcez votre sécurité.

Pourquoi le message est‑il arrivé en spam ?

Parce que les contrôles antispam et d’authentification ont probablement détecté l’usurpation. Le dossier « Courrier indésirable » a le rôle de « filet de sécurité » pour ce type d’attaque.

Que faire si l’e‑mail contient un ancien mot de passe à moi ?

Certains attaquants utilisent des bases de données de fuites publiques. Changez immédiatement tout mot de passe mentionné, vérifiez la 2FA et évitez toute réutilisation future.

Comment expliquer simplement l’usurpation à un non‑technicien ?

Le champ « De/From » d’un e‑mail ressemble à un autocollant sur une enveloppe : n’importe qui peut l’écrire. Les contrôles SPF/DKIM/DMARC comparent l’autocollant au trajet réel de l’enveloppe. S’ils ne correspondent pas, c’est une fausse identité.

Plan d’action en quinze minutes

  1. 00:00–02:00 : Ne répondez pas, signalez comme indésirable.
  2. 02:00–05:00 : Changez le mot de passe de la messagerie, activez la 2FA.
  3. 05:00–08:00 : Vérifiez règles/redirections dans Outlook.
  4. 08:00–12:00 : Lisez les en‑têtes, capturez les preuves.
  5. 12:00–15:00 : Analyse antivirus rapide, mises à jour, sauvegarde express.

Modèle de message pour signaler l’abus

Copiez‑collez ce modèle et joignez le message avec en‑têtes complets :

Objet : Signalement d'arnaque d'extorsion par e‑mail (usurpation d'adresse)

Bonjour,

Je vous signale la réception d'un courriel d'extorsion prétendant avoir installé « Pegasus » et exigeant un paiement en cryptomonnaie.

* Date/heure de réception :
* Objet :
* Adresse affichée dans "From" :
* Résultats SPF/DKIM/DMARC (si disponibles) :
* Adresse de retour (Return‑Path) :
* Autres éléments :

Je joins le message original (avec en‑têtes complets). Merci de traiter ce signalement.
Cordialement,

Synthèse à retenir

  • Un e‑mail qui prétend avoir installé « Pegasus » et exige une rançon est presque toujours une sextorsion sans accès réel à votre appareil.
  • La mention « Envoyé par moi » découle d’un spoofing du champ From, pas d’une prise de contrôle de votre boîte.
  • Vérifiez les en‑têtes, changez votre mot de passe, activez la 2FA, analysez votre appareil et mettez à jour vos logiciels.
  • Conservez des preuves et signalez l’incident selon votre contexte.

En résumé : ignorez et supprimez l’e‑mail ; votre appareil n’est pas infecté par Pegasus, et l’expéditeur n’est qu’un escroc ayant usurpé votre adresse pour vous intimider. Adoptez les mesures de sécurité de base pour renforcer votre compte et votre tranquillité d’esprit.

Ressources internes utiles à mettre en place

  • Modèles de règles anti‑spoofing pour boîtes partagées et boîtes de fonction.
  • Procédure d’onboarding sécurité (gestionnaire de mots de passe, 2FA, sauvegarde, mises à jour).
  • Fiches réflexes « Je reçois une menace par e‑mail, que faire ? » pour diffusion en interne.

Check‑list finale

  • Message signalé et supprimé ? ✅
  • Mot de passe changé + 2FA activée ? ✅
  • Règles/redirections vérifiées ? ✅
  • En‑têtes analysés et preuves conservées ? ✅
  • Analyse antivirus effectuée ? ✅
  • Système et logiciels mis à jour ? ✅
  • Signalement effectué si nécessaire ? ✅
Outlook
sécurité outlook sextorsion Pegasus spoofing DMARC
Sommaire