Vous recevez des emails de chantage « You’ve been hacked » semblant venir de votre propre adresse Outlook/Hotmail ? Rassurez‑vous : c’est presque toujours de l’usurpation. Voici comment vérifier, bloquer la nuisance et renforcer votre sécurité en quelques actions simples.
Vue d’ensemble
Depuis quelques mois, de nombreuses boîtes Outlook/Hotmail voient arriver des courriels d’extorsion dans les Indésirables, dont l’expéditeur affiché est… l’adresse du destinataire. Le message prétend souvent avoir piraté votre appareil, exige un paiement (le plus souvent en crypto) et parfois montre de fausses « preuves ». La bonne nouvelle : dans l’immense majorité des cas, votre compte n’a pas été compromis. Il s’agit d’une usurpation d’adresse (email spoofing), une technique qui consiste à falsifier le champ From. Le filtrage de Microsoft classe généralement ces messages en indésirables, mais certains utilisateurs s’inquiètent : l’email n’apparaît pas dans « Éléments envoyés », le blocage de l’expéditeur peut échouer (« vous ne pouvez pas bloquer une adresse de votre propre organisation »), et la présence d’images ou d’informations personnelles entretient le doute. Ce guide explique comment poser le bon diagnostic, faire les vérifications essentielles, neutraliser la nuisance, et remonter efficacement l’information à Microsoft.
Diagnostic : ce qui se passe vraiment
- Usurpation d’adresse : n’importe qui sur Internet peut écrire « From: votreadresse@outlook.com ». Ce texte n’est pas une preuve d’envoi depuis votre boîte.
- Absence dans « Éléments envoyés » : c’est un très bon indicateur que votre compte n’a pas envoyé le message.
- En‑têtes techniques : la « carte grise » du message révèle l’expéditeur réel (serveur source) et l’état des contrôles d’authentification (SPF, DKIM, DMARC). Dans ces arnaques, on voit fréquemment
spf=failet/oudmarc=fail. - Analogie téléphonique : c’est comme l’usurpation d’identifiant d’appel (caller ID spoofing). Voir votre propre numéro n’implique pas qu’un pirate a accès à votre smartphone ; même logique pour l’email.
| Symptôme observé | Interprétation la plus probable | Action recommandée |
|---|---|---|
| L’email prétend venir de moi | Usurpation du champ From | Signaler comme hameçonnage, ne pas répondre |
| Rien dans « Éléments envoyés » | Votre compte n’a pas expédié le message | Conserver mais vérifier l’activité récente |
| Blocage impossible de « moi‑même » | Adresse traitée comme interne / protection Exchange | Privilégier le signalement + règles basées sur en‑têtes |
| Menaces, demandes de rançon | Extorsion standard, copie‑collée à grande échelle | Ignorer, ne pas payer, supprimer après signalement |
Vérifications rapides pour écarter un piratage réel
- Changez le mot de passe de votre compte Microsoft. Préférez une phrase de passe longue (12–16+ caractères, unique, jamais réutilisée). Un gestionnaire de mots de passe simplifie tout.
- Activez ou confirmez la double authentification (2FA). Idéalement via une application d’authentification plutôt que par SMS. Conservez vos codes de récupération en lieu sûr.
- Contrôlez l’activité récente du compte : dates/lieux d’accès, appareils connectés, sessions ouvertes. Déconnectez tout appareil que vous ne reconnaissez pas et révoquez les applications tierces inutiles.
- Inspectez les règles et redirections : dans Outlook/Outlook.com, assurez‑vous qu’aucune règle de boîte ni redirection non autorisée n’envoie vos messages ailleurs.
Si ces quatre points sont propres, vous pouvez être serein : le message est presque certainement un spam usurpé et non l’effet d’une compromission.
Que faire avec chaque message suspect
- Ne payez pas, ne répondez pas.
- Signalez comme hameçonnage : depuis le message, utilisez Courrier indésirable → Hameçonnage (ou l’add‑in « Report Message » si présent).
- Supprimez ensuite le courriel.
- Bloquer votre propre adresse n’a aucun intérêt : l’arnaqueur changera d’adresse source et, côté Microsoft, votre domaine peut être vu comme « interne », d’où le refus de blocage.
Réduire la réapparition des messages
Deux leviers sont efficaces : nourrir les filtres via le signalement systématique et, si vous souhaitez être proactif, ajouter une règle ciblée qui repère une usurpation grossière.
Créer une règle dans Outlook.com (web)
- Ouvrez Paramètres (roue dentée) → Afficher tous les paramètres d’Outlook.
- Allez dans Courrier → Règles → Ajouter une nouvelle règle.
- Nom de la règle : Usurpation depuis mon adresse.
- Conditions :
- L’expéditeur contient → votreadresse@outlook.com.
- Inclut ces mots dans l’en‑tête du message → ajoutez spf=fail et dmarc=fail (deux entrées).
- Action : Déplacer vers → Courrier indésirable (ou supprimer si vous êtes à l’aise).
- Enregistrer.
Cette règle attrape les cas où l’expéditeur affiché est « vous » mais où l’authentification échoue. Les messages légitimes envoyés par vous n’ont pas spf=fail/dmarc=fail, ils ne seront donc pas touchés.
Créer une règle dans Outlook pour Windows
- Ouvrez Fichier → Gérer les règles et alertes → Nouvelle règle.
- Choisissez Appliquer la règle aux messages que je reçois.
- Cochez avec des mots spécifiques dans l’en‑tête du message et ajoutez spf=fail puis dmarc=fail (deux occurrences).
- Cochez de personnes publiques ou groupe et sélectionnez votre propre adresse (optionnel si vous voulez restreindre au « From : moi »).
- Action : déplacer vers le dossier → Courrier indésirable ou un dossier Usurpations que vous créez.
- Terminez l’assistant et validez.
Créer une règle dans le nouveau Outlook et sur Mac
Le principe est identique : créez une règle sur la boîte Exchange/Outlook.com (règle côté serveur), avec condition sur From contenant votre adresse + mots spf=fail et/ou dmarc=fail dans l’en‑tête. Sur Mac, rendez‑vous dans Outils → Règles puis sélectionnez le compte concerné.
Comprendre SPF, DKIM et DMARC sans jargon inutile
Ce trio protège l’identité des expéditeurs :
- SPF : répertorie les serveurs autorisés à envoyer des emails pour un domaine.
- DKIM : signe cryptographiquement le message pour prouver qu’il n’a pas été altéré et qu’il vient bien d’un serveur autorisé.
- DMARC : indique quoi faire si SPF et/ou DKIM échouent (surveiller, mettre en spam, rejeter) et impose que le domaine « From » corresponde aux résultats.
| Protocole | À quoi ça sert | Indicateurs dans les en‑têtes | Interprétation rapide |
|---|---|---|---|
| SPF | Liste de serveurs autorisés | spf=pass / spf=fail | fail : serveur non autorisé, fort signal d’usurpation |
| DKIM | Signature du message | dkim=pass / dkim=fail / none | none ou fail couplé à spf=fail : très suspect |
| DMARC | Politique du domaine | dmarc=pass / dmarc=fail | fail avec From = votre domaine : usurpation quasi certaine |
Exemple typique d’en‑têtes d’un mail usurpé
Authentication-Results: ...; spf=fail ...; dkim=none; dmarc=fail (p=reject)
From: votreadresse@outlook.com
Return-Path: random@serveur-exotique.tld
Received: from smtp123.exemple-etranger.net (203.0.113.45) by ...
Notez le Return‑Path et l’IP du serveur expéditeur, sans rapport avec Outlook. C’est typique d’une usurpation.
À propos des « preuves » affichées dans l’email
- Captures d’écran génériques : souvent récupérées sur Internet, recyclées dans des milliers d’envois.
- Données personnelles : elles peuvent provenir de fuites de sites tiers ou d’informations publiques. Cela ne prouve pas un accès à votre appareil.
- Ancien mot de passe cité : s’il correspond à un mot de passe réutilisé par le passé, changez‑le partout et activez la 2FA. Sinon, ignorez.
Comment consulter les en‑têtes du message
- Outlook.com (web) : ouvrez le message → menu … → Afficher l’original.
- Outlook pour Windows (classique) : ouvrez le message → Fichier → Propriétés → zone En‑têtes Internet.
- Nouveau Outlook / Mac : ouvrez le message → … → Afficher la source du message (ou « Afficher l’original »).
- Mobile : la vue des en‑têtes complets est limitée ; transférez‑vous le message et utilisez le web ou le poste de travail.
Pourquoi le blocage de votre propre adresse échoue
Dans les environnements Microsoft, votre propre adresse (et parfois l’ensemble de votre domaine) est considérée « interne ». Par design, Outlook/Exchange évitent de créer des règles de blocage contre soi‑même afin d’empêcher des scénarios où un utilisateur se verrouillerait involontairement. D’où le message de type : « Vous ne pouvez pas bloquer une adresse de votre organisation ». De toute façon, bloquer est peu efficace contre l’usurpation, car les spammeurs changent constamment de source. Misez plutôt sur le signalement et les règles basées sur l’authentification (spf=fail/dmarc=fail).
Signaler efficacement à Microsoft
- Dans le message, utilisez Courrier indésirable → Hameçonnage. Cela envoie un échantillon aux filtres pour apprentissage.
- Dans l’application Outlook, l’add‑in Report Message (souvent installé par défaut) permet de classer en Phishing en un clic.
- Dans l’interface, vous pouvez aussi cliquer sur l’icône ? ou smiley pour envoyer un commentaire : c’est utile pour suggérer des améliorations (ex. masquer l’adresse expéditeur si Junk + From = moi et afficher un avertissement pédagogique).
Cas particuliers et bonnes pratiques complémentaires
Vous utilisez un domaine personnalisé
Si votre adresse n’est pas en @outlook.com/@hotmail.com mais en @votredomaine.tld, vérifiez vos enregistrements DNS :
- SPF : incluez la plateforme d’envoi (par ex. l’infrastructure de Microsoft 365). Exemple courant :
v=spf1 include:spf.protection.outlook.com -all(à adapter à votre cas). - DKIM : activez la signature depuis votre centre d’administration.
- DMARC : publiez une politique, même en
p=quarantineau début, puisp=rejectpour plus de fermeté une fois les flux légitimes validés.
Pour les adresses Microsoft grand public, ces mécanismes sont gérés par Microsoft et vous n’avez pas à configurer le DNS.
Renforcer votre hygiène de sécurité
- Maintenez vos systèmes et applications à jour.
- Activez l’analyse antivirus/antimalware et lancez une analyse complète si un doute persiste.
- Surveillez vos autres comptes principaux (boîte de secours, réseaux sociaux, stockage cloud) et activez la 2FA partout où c’est possible.
- Vérifiez si vos adresses ont figuré dans des fuites publiques et remplacez tout mot de passe potentiellement exposé.
Questions fréquentes
« Le mail contient un de mes anciens mots de passe, suis‑je piraté ? »
Pas nécessairement. Des bases de mots de passe volés circulent depuis des années. Si ce mot de passe a été réutilisé, changez‑le immédiatement partout et activez la 2FA.
« Comment savoir si quelqu’un a lu mes emails ? »
Consultez l’activité récente du compte, révoquez les sessions inconnues, et assurez‑vous qu’aucune redirection ni règle suspecte ne soit active.
« Et si le mail n’est pas en Indésirables ? »
Classez‑le manuellement en Hameçonnage. Les filtres s’ajustent souvent après quelques signalements.
« Bloquer l’expéditeur ne fonctionne pas ; que faire ? »
C’est attendu avec votre propre adresse. Utilisez une règle sur en‑têtes et le signalement.
« Dois‑je répondre pour “perdre du temps” au scammer ? »
Non. Toute interaction confirme la validité de votre adresse. Signalez et supprimez.
Pas à pas : contrôle de sécurité complet
- Changer le mot de passe : phrase de passe longue, unique. Mettez à jour vos appareils.
- Activer la 2FA : application d’authentification, enregistrez les codes de secours.
- Revue des sessions : déconnectez les appareils inconnus, révoquez les apps inutiles.
- Règles + Redirections :
- Outlook.com : Paramètres → Courrier → Règles et Courrier → Transfert.
- Outlook classique : Fichier → Gérer les règles et alertes et Fichier → Informations → Paramètres du compte → Règles côté serveur.
- Créer la règle anti‑usurpation (voir plus haut).
- Scanner les appareils si un doute subsiste.
Modèle de règle : copier‑coller des critères utiles
Dans le champ « mots spécifiques dans l’en‑tête du message », ajoutez ces éléments (un par ligne) :
spf=fail
dmarc=fail
Authentication-Results:.*spf=fail
Authentication-Results:.*dmarc=fail
Si votre interface ne supporte pas les expressions régulières, contentez‑vous de spf=fail et dmarc=fail.
Exemple de message usurpé annoté
From: votreadresse@outlook.com <-- affichage trompeur
Return-Path: zzz@domaine-opaque.tld <-- adresse de rebond réelle
Subject: You've been hacked
Authentication-Results: spf=fail; dkim=none; dmarc=fail
Received: from smtp-bot-42.example (203.0.113.45) by ...
Body: Exige un paiement en crypto, menaces génériques
Rappels importants
- Un mail « From: moi » n’est pas une preuve technique d’envoi.
- Le trio SPF/DKIM/DMARC est la boussole :
fail→ méfiance,pass→ crédibilité accrue. - Le signalement Phishing est le canal prioritaire pour entraîner les filtres.
- La 2FA est votre meilleur allié contre les connexions non autorisées.
Tableau récapitulatif : symptômes → actions
| Situation | Risque réel | Action immédiate | Action durable |
|---|---|---|---|
| « From = moi », en Indésirables | Usurpation | Signaler hameçonnage, supprimer | Règle spf=fail/dmarc=fail |
| Demande de rançon | Extorsion standard | Ignorer, ne pas payer | 2FA partout, mot de passe unique |
| Blocage de mon adresse impossible | Comportement normal | Abandonner le blocage | Signaler systématiquement |
| Ancien mot de passe mentionné | Fuite historique | Changer partout, 2FA | Gestionnaire de mots de passe |
Résumé actionnable en vingt secondes
- Changer le mot de passe et activer la 2FA.
- Vérifier l’activité récente, les règles et les redirections.
- Signaler chaque mail en Hameçonnage, puis supprimer.
- (Avancé) Règle basée sur
spf=fail/dmarc=fail. - Ignorer les menaces, ne pas payer.
Modèle de message pour rassurer un proche
J’ai reçu un email de chantage « From: moi ». C’est une usurpation d’adresse
très répandue. J’ai vérifié mon compte (2FA, activité, règles) et tout est ok.
Je signale chaque message comme phishing pour aider les filtres. Aucune action
ni paiement n’est nécessaire.
Checklist finale
- ✔ Mot de passe changé, unique, long
- ✔ 2FA activée avec application d’authentification
- ✔ Sessions et appareils inconnus déconnectés
- ✔ Règles/Transfert vérifiés
- ✔ Règle anti‑usurpation en place (optionnel)
- ✔ Signalement phishing systématique
- ✔ Appareils à jour et scannés
En bref
Ces courriels d’extorsion affichés comme « envoyés par moi » exploitent une faiblesse d’apparence, pas votre compte. Les filtres modernes s’en sortent bien, et vos gestes comptent : 2FA, vérifications de base, signalement et, si besoin, une règle anti‑usurpation précise. Avec ces pratiques, la fréquence baisse rapidement et votre tranquillité revient.