Vous avez reçu un e‑mail affirmant qu’un « pirate » contrôle vos appareils et exige une rançon ? Respirez. Il s’agit presque toujours d’une arnaque de sextorsion (ransom phishing). Voici comment réagir immédiatement et sécuriser durablement vos comptes.
Vue d’ensemble de la menace
Ce type de message prétend que l’expéditeur :
- a « trouvé » votre mot de passe ;
- contrôle vos appareils via un cheval de Troie (RAT) ;
- divulguera vos données personnelles (photos, contacts, historique) si vous ne payez pas une rançon.
Dans l’immense majorité des cas, il n’existe aucune preuve réelle d’intrusion. Les arnaqueurs utilisent des mots de passe issus d’anciennes fuites publiques et des menaces génériques pour vous faire paniquer et payer.
Ce qu’il faut faire tout de suite
- Ne répondez pas et ne payez pas. Répondre confirme que votre adresse est active ; payer vous expose à d’autres extorsions.
- Changez immédiatement votre mot de passe Outlook / Microsoft.
Choisissez une phrase de passe longue, unique, et mettez à jour tout service où vous l’aviez réutilisée. - Déconnectez-vous de tous les appareils et sessions actives.
Dans votre compte Microsoft : Sécurité → Options de sécurité avancées → « Se déconnecter partout ». - Activez la double authentification (2FA).
Idéalement via l’application Microsoft Authenticator, en plus d’un SMS et d’un e‑mail de secours. - Ajoutez au moins trois moyens de récupération.
Numéro mobile, e‑mail secondaire, codes de récupération imprimés et conservés hors ligne. - Analysez vos appareils.
Antivirus complet, mises à jour système, suppression d’extensions/programmes inconnus, réinitialisation du navigateur si besoin. - Signalez l’e‑mail.
Dans Outlook : Accueil → « Signaler comme hameçonnage ». Vous pouvez aussi le transférer àreportphishing@apwg.orget/ou au portail gouvernemental compétent. - Appliquez des mesures préventives complémentaires.
Gestionnaire de mots de passe, sauvegardes régulières, formation aux signaux d’alerte courants.
Pourquoi ce message n’est presque jamais un « vrai hack »
- Un mot de passe ancien affiché dans l’e‑mail provient souvent d’une fuite publique ; il est brandi pour vous effrayer, pas parce que vos appareils sont compromis aujourd’hui.
- Un RAT réellement opérationnel nécessite une installation locale (pièce jointe ouverte, exécutable lancé, macro activée). Si vous n’avez rien ouvert/ installé récemment, l’infection est improbable.
- Les menaces sont vagues et interchangeables : mêmes formulations, mêmes délais (« 48 h », « 72 h »), mêmes demandes de paiement en crypto.
Étapes détaillées, pas à pas
Changer le mot de passe Outlook / Microsoft
- Connectez‑vous à votre compte Microsoft depuis un navigateur privé.
- Accédez à Sécurité → Mot de passe et définissez une phrase de passe : au moins 16 caractères, quatre mots aléatoires, ou une phrase facile à mémoriser mais unique (évitez citations connues).
- Activez l’option « ne plus demander sur cet appareil » uniquement après avoir activé la 2FA.
- Important : changez aussi le mot de passe de tout service où l’ancien identifiant était réutilisé.
Se déconnecter de toutes les sessions
- Dans Sécurité → Options de sécurité avancées, ouvrez la section Activité de connexion.
- Choisissez Se déconnecter partout (cela révoque les sessions web, mobiles et clients de messagerie).
- Revérifiez ensuite vos appareils approuvés dans la section Appareils et supprimez ceux que vous ne reconnaissez pas.
Activer la double authentification via Microsoft Authenticator
- Dans Sécurité → Authentification multifacteur, ajoutez l’application Microsoft Authenticator.
- Scannez le QR code et validez un essai de connexion.
- Ajoutez en secours : SMS, e‑mail secondaire et codes de récupération. Imprimez ces codes et conservez‑les hors ligne.
Ajouter des moyens de récupération
- Mobile principal + mobile de secours (si possible).
- Adresse e‑mail secondaire sur un domaine différent.
- Codes de récupération conservés dans un coffre (physique) ou un gestionnaire de mots de passe chiffré.
Analyser vos appareils
Windows avec Sécurité Windows (Microsoft Defender)
- Ouvrez Sécurité Windows → Protection contre les virus et menaces.
- Cliquez sur Options d’analyse → Analyse complète.
- Si vous suspectez fortement une infection, lancez Microsoft Defender hors connexion (analyse avant démarrage).
- Dans Protection contre les ransomwares, activez l’accès contrôlé aux dossiers et vérifiez vos dossiers protégés.
Mettre le système et les logiciels à jour
- Paramètres → Windows Update → Rechercher des mises à jour.
- Mettez à jour aussi les navigateurs, Java, lecteurs PDF et extensions.
Désinstaller programmes et extensions inconnus
- Paramètres → Applications → Applications installées : désinstallez tout élément suspect.
- Navigateurs : supprimez les extensions que vous n’avez pas installées vous‑même.
Réinitialiser le navigateur (si nécessaire)
- Microsoft Edge : Paramètres → Réinitialiser les paramètres → Restaurer les paramètres par défaut.
- Google Chrome : Paramètres → Réinitialiser et nettoyer → Restaurer les paramètres par défaut (puis Nettoyer l’ordinateur).
- Mozilla Firefox : Aide → Mode de dépannage → Restaurer.
Signaler l’e‑mail
- Outlook pour Windows : sélectionnez le message → Onglet Accueil → Signaler le message → Hameçonnage.
- Outlook sur le Web : ouvrez le message → … → Signaler → Hameçonnage.
- Outlook mobile : ouvrez le message → … → Signaler → Hameçonnage.
- Signalement externe : transférez en pièce jointe EML à
reportphishing@apwg.org. Ajoutez le portail national anti‑fraude de votre pays si disponible.
Checklist express
- ☐ Mot de passe Microsoft changé, unique et long
- ☐ Sessions fermées sur tous les appareils
- ☐ 2FA activée via Microsoft Authenticator
- ☐ 3 moyens de récupération ajoutés
- ☐ Analyse antivirus complète + mises à jour
- ☐ E‑mail signalé dans Outlook
- ☐ Sauvegardes vérifiées et testées
Indicateurs d’arnaque vs signes d’intrusion réelle
| Indicateurs | Arnaque typique | Compromission probable |
|---|---|---|
| Mot de passe mentionné | Ancien mot de passe vu dans une fuite publique | Mot de passe actuel et utilisé avec succès |
| Preuves techniques | Aucune preuve, captures d’écran absentes | Connexion inconnue dans « Activité de connexion », alertes 2FA |
| Comportement de l’appareil | Rien d’anormal | Processus suspects, antivirus qui alerte, proxy/malware installés |
| Exécution de pièces jointes | Vous n’avez rien ouvert | Vous avez ouvert un exécutable/macro juste avant les messages |
| Demandes de paiement | Crypto exigée sous 48–72 h | Pas pertinent |
Reconnaître un e‑mail de sextorsion
Signaux d’alerte fréquents :
| Élément | Exemples | Pourquoi c’est suspect |
|---|---|---|
| Ligne d’objet | « J’ai piraté votre appareil », « Votre compte a été compromis », « Nous avons une vidéo de vous » | Formulations génériques et intimidantes |
| Menaces | Divulgation à vos contacts, réseaux sociaux, employeur | Ultimatums sans preuve, délais arbitraires |
| Preuves inventées | Adresse IP approximative, ancien mot de passe | Données recyclées de fuites publiques |
| Canal de paiement | Portefeuille crypto fourni, parfois QR code | Impossibilité de réverser le paiement |
Exemple d’e‑mail typique
Objet : J’ai contrôlé votre appareil depuis 96h Bonjour, Je suis un hacker professionnel. J’ai installé un RAT sur votre PC et je possède des vidéos de vous… Payez 900$ en BTC sous 48h à l’adresse suivante : 1ABC… Sinon j’enverrai tout à vos contacts. — Fin —
Automatiser la protection dans Outlook
Créer une règle simple de tri
- Outlook pour Windows : Fichier → Gérer les règles et alertes → Nouvelle règle.
- Condition : mots‑clés fréquents (« BTC », « ransom », « hacked », « sextortion », etc.).
- Action : déplacer vers Courrier indésirable, marquer comme lu, ajouter une catégorie « Suspect ».
Astuce : évitez les règles trop agressives pour ne pas filtrer des messages légitimes. Mettez à jour la liste de mots‑clés au fil du temps.
Pour les administrateurs en entreprise
- Forcer la réinitialisation des mots de passe concernés et révoquer les sessions/refresh tokens.
- Contrôler les journaux de connexion (impossible travel, IP anonymisées, MFA refusées).
- Renforcer la politique 2FA : application d’authentification, clés FIDO2, interdiction du SMS seul pour les comptes sensibles.
- Activer/renforcer Safe Links et Safe Attachments si disponibles.
- Déployer une bannière d’avertissement pour les e‑mails externes.
- Former les utilisateurs : ateliers courts, tests de phishing simulés, rappel des procédures de signalement.
Modèles pratiques
Message de signalement interne (à copier/coller)
Objet : Signalement – Courriel de sextorsion reçu Bonjour équipe sécurité, Je viens de recevoir un message d’extorsion (expéditeur : …, heure : …). Aucune pièce jointe ouverte, aucune action effectuée. Je vous le transfère en pièce jointe EML. Cordialement,
Journal d’incident (à tenir à jour)
| Date/heure | Événement | Action | Résultat | Preuve jointe |
|---|---|---|---|---|
| … | Réception e‑mail d’extorsion | Aucune réponse, signalement Outlook | Message déplacé en indésirable | EML archivé |
| … | Changement mot de passe Microsoft | Phrase de passe + 2FA | OK | Capture d’écran confirmation |
FAQ
L’e‑mail affiche un de mes mots de passe. Dois‑je paniquer ?
Non. Il s’agit très souvent d’un mot de passe ancien issu d’une fuite. Changez immédiatement vos mots de passe et cessez toute réutilisation. Activez la 2FA sur tous les comptes importants.
Ils disent avoir un RAT sur mon PC.
Sans pièce jointe ouverte ni programme exécuté récemment, cette affirmation est presque toujours fausse. Par prudence, faites une analyse complète (voire hors connexion) avec Defender et mettez tout à jour.
Dois‑je payer pour éviter la « divulgation » ?
Non. Payer ne garantit rien et vous place dans le viseur. Les arnaqueurs pourraient réclamer davantage ou vous harceler.
Mes contacts recevront‑ils le message si je ne paie pas ?
Les escrocs n’ont généralement pas accès à votre carnet d’adresses. Ils envoient des millions d’e‑mails en masse. Si, malgré tout, vos contacts reçoivent quelque chose semblant venir de vous, changez vos mots de passe, révoquez les sessions, et prévenez‑les que c’est une usurpation.
Faut‑il réinstaller Windows ?
Uniquement si des analyses avancées détectent une infection persistante ou si le comportement de l’appareil est anormal. Commencez par Defender hors connexion et la désinstallation d’éléments suspects.
Bonnes pratiques de prévention
- Gestionnaire de mots de passe : générez des identifiants uniques, stockez‑les chiffrés, ne réutilisez jamais un mot de passe.
- Règle 3‑2‑1 de sauvegarde : 3 copies, sur 2 supports différents, dont 1 hors ligne/immutable.
- 2FA partout : e‑mail, cloud, réseaux sociaux, banques, boutiques en ligne.
- Hygiène numérique : méfiance vis‑à‑vis des liens, pièces jointes inattendues, demandes urgentes, fautes grossières et promesses menaçantes.
- Surveillance : vérifiez périodiquement l’activité de connexion de vos comptes et les autorisations d’applications tierces.
Résumé opérationnel
En 10 minutes : ne répondez pas, changez votre mot de passe Microsoft, révoquez les sessions, activez la 2FA, signalez l’e‑mail. Dans l’heure : analyse complète Defender, mises à jour, vérification des appareils et extensions. Dans la journée : sauvegardes, gestionnaire de mots de passe, formation rapide aux signaux d’alerte.
Rappels essentiels
- Un ancien mot de passe dans l’e‑mail n’est pas une preuve d’accès à vos appareils.
- Les chevaux de Troie avancés nécessitent une action de votre part pour s’installer.
- Conservez des copies hors ligne de vos codes de récupération 2FA/Microsoft : elles permettent de reprendre la main même si vous perdez votre téléphone.
Annexe : procédures rapides
Changer le mot de passe en toute sécurité
- Ouvrez une fenêtre de navigation privée.
- Connectez‑vous à votre compte Microsoft uniquement depuis un appareil de confiance.
- Générez une phrase de passe (ex. 4 mots aléatoires + ponctuation).
- Enregistrez‑la dans votre gestionnaire de mots de passe.
Réinitialiser un navigateur compromis
- Exportez vos favoris si besoin.
- Réinitialisez le navigateur (voir plus haut).
- Réinstallez uniquement les extensions indispensables depuis les boutiques officielles.
Communiquer si vous craignez une fuite
Message court pour prévenir vos proches (optionnel) : « Bonjour, ne tenez pas compte de tout message étrange semblant venir de moi. J’ai sécurisé mes comptes (nouveau mot de passe + 2FA). Si vous recevez un contenu suspect, supprimez-le et dites-le-moi. Merci. »
Mises en situation
Cas A : vous n’avez rien ouvert → très probablement une arnaque. Appliquez le plan d’action et reprenez votre journée.
Cas B : vous avez ouvert une pièce jointe douteuse → déconnectez‑vous d’Internet, analyse Defender hors connexion, supprimez l’élément, changez vos mots de passe depuis un autre appareil sain, puis révoquez les sessions.
Cas C : alertes 2FA inattendues → refusez toutes les demandes, changez immédiatement le mot de passe, vérifiez l’activité de connexion, et révoquez les sessions.
Conclusion
La clé face aux e‑mails de sextorsion : garder son sang‑froid, ne rien payer, sécuriser méthodiquement ses comptes et appareils. En quelques étapes concrètes (mot de passe, 2FA, analyse, signalement), vous neutralisez l’attaque sociale et durcissez votre posture de sécurité pour l’avenir.