Vous avez reçu un courriel d’extorsion (« sextorsion ») prétendument envoyé depuis votre propre adresse Outlook / Microsoft ? Voici un guide concret, pas à pas, pour réagir rapidement, comprendre l’usurpation d’adresse (spoofing) et sécuriser durablement vos comptes et appareils.
Courriel d’extorsion (« sextorsion ») envoyé depuis sa propre adresse
Synthèse du problème
Un message alarmiste affirme qu’un pirate a installé « Pegasus » sur tous vos appareils, vous aurait filmé dans des situations compromettantes et diffusera des vidéos à tous vos contacts si vous ne payez pas 1 550 $ US en Litecoin en 48 heures. Le courriel reprend les codes classiques de l’arnaque : accusations sexuelles, délai très court, demande de paiement en cryptomonnaie, menace si vous contactez la police et intimidation technique (« on détecte tout ce que vous faites »). Pour paraître crédible, l’expéditeur affiche votre propre adresse — une usurpation fréquente qui, en soi, ne prouve pas que votre compte est compromis.
À quoi ressemble ce type de message ?
« Nous avons installé Pegasus sur vos appareils. Nous vous avons filmé. Si vous ne payez pas 1 550 $ en LTC dans les 48 heures, nous enverrons les vidéos à tous vos contacts. N’essayez pas de nous piéger : nous détectons l’ouverture, la suppression, le formatage, la déconnexion… »
- Lexique typique : mots-clés sexuels, honte, urgence, menace de diffusion.
- Technique fallacieuse : jargon emprunté (« Pegasus », « serveur miroir », « cheval de Troie ») sans preuve technique.
- Mécanique psychologique : créer la panique pour déclencher un paiement irréfléchi.
Pourquoi « expéditeur = vous » ne prouve rien
Dans la plupart des cas, l’escroc usurpe l’adresse affichée dans le champ From: via un serveur mal configuré ou un service d’envoi anonyme. Le message peut sembler « venir de vous », alors qu’il n’est jamais passé par votre boîte d’envoi. Seule une vérification des en‑têtes (SPF/DKIM/DMARC) et de l’activité du compte permet de trancher entre usurpation et compromission réelle.
Plan d’action immédiat (priorité)
| Étape | Action recommandée | Pourquoi / détails |
|---|---|---|
| 1. Ne pas payer, ne pas répondre | Ignorez les menaces, n’envoyez aucune cryptomonnaie et ne répondez pas au message. | Les attaquants n’ont presque jamais de vidéo. Payer encourage l’extorsion et n’assure rien. |
| 2. Signaler et supprimer | Dans Outlook : utilisez Courrier indésirable → Signaler comme hameçonnage, puis supprimez. | Le signalement alimente les filtres anti‑spam et réduit l’exposition d’autres victimes. |
| 3. Vérifier l’activité du compte Microsoft | Allez sur account.microsoft.com → Sécurité → Revoir l’activité de connexion. | Si aucune connexion suspecte : très probable spoofing. Sinon, passez à l’étape 4. |
| 4. Sécuriser le compte | Changez le mot de passe pour un mot de passe long et unique, activez la MFA, mettez à jour les infos de récupération. | Empêche la réutilisation d’identifiants fuité·es et bloque les connexions non autorisées. |
| 5. Contrôler les appareils | Lancez une analyse complète avec un antivirus à jour (Windows Defender suffit généralement). Mettez à jour OS, navigateurs et plugins. Désinstallez les applis inconnues. | Réduit le risque de malwares opportunistes et corrige des failles connues. |
| 6. Vérifier vos adresses dans « Have I Been Pwned » | Recherchez si vos adresses e‑mail figurent dans des fuites. Changez tout mot de passe réutilisé. | Beaucoup de sextorsions utilisent d’anciennes listes de fuites pour vous intimider. |
| 7. Durcir la sécurité du courriel (domaine personnel) | Activez SPF, DKIM, DMARC côté DNS et serveur d’envoi. | Réduit l’usurpation évidente et améliore la délivrabilité légitime. |
| 8. Prévenir / déposer plainte (conseillé) | Transférez le message avec en‑têtes complets à reportphishing@apwg.org ou abuse@outlook.com. Déposez une plainte si nécessaire : USA : IC3.gov · UE : plateforme econsumer.eu · Canada : Centre antifraude du Canada. | Utile pour les statistiques, le démantèlement d’infrastructures frauduleuses et l’assurance. |
| 9. Se former | Consultez des guides Microsoft « Protéger votre compte » et des ressources pédagogiques grand public sur la sextorsion. | Renforce les réflexes de sécurité à long terme. |
Procédures détaillées
Outlook : signaler comme hameçonnage (web, Windows, Mac, mobile)
- Outlook sur le web (Outlook.com / Microsoft 365) : ouvrez le message → bouton Signaler (icône bouclier) → Hameçonnage → validez → supprimez.
- Outlook pour Windows (nouvelle application) : sélectionnez le message → ruban Signalement ou Courrier indésirable → Hameçonnage.
- Outlook pour Windows (classique) : clic droit sur le message → Courrier indésirable → Signaler comme hameçonnage. Vous pouvez aussi utiliser le bouton Signalement de message si présent.
- Outlook pour Mac : sélectionnez le message → menu Courrier indésirable → Signaler comme hameçonnage.
- Outlook mobile (iOS/Android) : ouvrez le message → menu … → Déplacer vers indésirables ou Signaler → Hameçonnage.
Astuce : après signalement, videz Éléments supprimés et Courrier indésirable pour éviter tout clic accidentel ultérieur.
Revoir l’activité du compte Microsoft
- Connectez‑vous à account.microsoft.com → onglet Sécurité → Activité de connexion.
- Vérifiez les dates, adresses IP/lieux, types d’appareils. Une activité incohérente (pays inconnus, heures impossibles) impose un changement immédiat de mot de passe et l’activation MFA.
- Dans Appareils : supprimez les appareils que vous ne reconnaissez pas.
- Dans Paramètres de sécurité avancés : révoquez les mots de passe d’application, tokens et sessions persistantes suspectes.
Changer le mot de passe et activer la MFA
- Créez un mot de passe long (16+ caractères), unique, généré par un gestionnaire de mots de passe.
- Activez la double authentification (application d’authentification, clé de sécurité FIDO2 si possible).
- Mettez à jour l’e‑mail et le numéro de récupération. Supprimez ceux que vous n’utilisez plus.
- Évitez la réutilisation : si le message affiche un ancien mot de passe, considérez‑le comme brûlé partout où il aurait été réemployé.
Contrôler vos appareils
Windows (Windows Defender) :
- Ouvrez Sécurité Windows → Protection contre les virus et menaces → Options d’analyse → Analyse complète.
- Activez la Protection en temps réel et la Protection cloud. Vérifiez que les mises à jour de sécurité sont à jour.
macOS : mettez à jour macOS, supprimez les profils inconnus (Réglages Système → Profils s’il y en a), exécutez un antivirus réputé si disponible, et contrôlez les extensions de navigateur.
iOS/Android : mettez à jour le système, supprimez les magasins d’applis non officiels, révoquez les profils MDM ou accessibilités d’applis suspectes, passez en revue les permissions sensibles (caméra, micro, SMS).
Routeur/NAS : mettez à jour le firmware, changez le mot de passe administrateur par défaut, désactivez l’administration distante si inutile.
Vérifier règles, transferts et accès délégués dans Outlook
- Règles : paramètres Outlook → Règles. Supprimez toute règle inconnue (ex. transfert vers une adresse externe, marquage automatique comme lu).
- Transfert : paramètres → Courrier → Transfert. Désactivez tout transfert non désiré.
- Accès délégués : paramètres → Comptes → Autorisations (ou Accès délégué). Retirez les délégués inconnus.
- Éléments envoyés : vérifiez qu’aucun envoi suspect n’a été réalisé
Vérifier vos adresses dans « Have I Been Pwned »
Ce service recense des fuites publiques connues. Si votre adresse apparaît, changez ou révoquez immédiatement les mots de passe réutilisés et activez la MFA. Si votre mot de passe actuel est cité dans l’e‑mail, il provient presque toujours d’une ancienne brèche : considérez‑le comme compromis partout où vous l’auriez recyclé.
Si vous gérez votre propre domaine : SPF, DKIM, DMARC
Pour réduire l’usurpation apparente de votre domaine, mettez en place ces enregistrements DNS :
- SPF (autorise vos serveurs d’envoi) :
v=spf1 include:spf.protection.outlook.com -all(exemple Microsoft 365) - DKIM (signature de vos messages) : activez la signature côté service d’envoi, publiez les CNAME fournis.
- DMARC (politique d’authentification) :
v=DMARC1; p=quarantine; rua=mailto:dmarc@votredomaine.tld; adkim=s; aspf=s(exemple de départ). Passez àp=rejectaprès surveillance.
Important : adaptez ces valeurs à votre environnement. Une politique DMARC trop stricte sans inventaire complet de vos flux d’envoi peut bloquer des courriels légitimes.
Informations complémentaires utiles
- Absence de preuve technique : l’e‑mail ne contient ni pièce jointe malveillante, ni indicateur crédible d’infection « Pegasus ».
- Pegasus : outil d’espionnage réservé à des acteurs très ciblés ; la probabilité d’en voir l’usage dans une sextorsion de masse contre des particuliers est hautement improbable.
- Chronologie usuelle : envois de masse automatisés depuis des listes d’adresses issues de fuites. L’attaquant joue sur la honte et l’urgence.
- Indicateur de fuite : si l’e‑mail révèle un mot de passe (souvent ancien), il provient d’une base de données publiée sur des forums ou d’un courtier de données.
FAQ — vos questions, des réponses claires
Le pirate peut‑il vraiment « détecter » si j’ouvre, supprime ou formate ?
Non. À moins d’une compromission avérée, l’attaquant ne voit pas vos actions. Les courriels de sextorsion sont des envois massifs sans visibilité sur votre appareil. Parfois, un pixel de suivi peut indiquer une ouverture, mais il ne révèle ni votre identité exacte ni vos actions système. Ne vous laissez pas intimider.
Dois‑je formater mon ordinateur ?
Non, sauf preuve de compromission. Contentez‑vous d’une analyse complète, de mises à jour, d’un changement de mot de passe et de la MFA. Le formatage est une mesure extrême, rarement justifiée dans ces scénarios.
Payer arrêtera‑t‑il la diffusion ?
Non. Rien ne garantit que l’extorqueur n’insistera pas, ou ne revendra pas votre adresse comme « payeur ». La meilleure stratégie est zéro paiement, zéro réponse.
Comment savoir si mon compte est réellement piraté ?
- Connexions inconnues dans Activité de connexion.
- Règles de transfert ou de suppression créées sans votre accord.
- Éléments envoyés contenant des messages que vous n’avez pas écrits.
- Avertissements de connexion inhabituelle.
Si un de ces éléments est présent, appliquez strictement la section Sécuriser le compte (mot de passe, MFA, révocations) et contrôlez vos appareils.
Le message cite un de mes mots de passe. Dois‑je paniquer ?
Non ; c’est un indice qu’une ancienne base de données a fuité. Considérez ce mot de passe comme compromis. Modifiez‑le partout où vous auriez pu le réutiliser et activez la MFA.
Pourquoi demandent‑ils des Litecoins ?
La cryptomonnaie rend les paiements plus difficiles à tracer, donc attrayants pour les fraudeurs. Le choix de Litecoin ou d’un autre actif n’a pas d’importance : l’objectif est l’anonymat et la rapidité.
Modèle de signalement et conservation des preuves
Conservez une copie du message, des en‑têtes complets et notez la date/heure de réception. Vous pouvez transférer le courriel (avec en‑têtes) à reportphishing@apwg.org et abuse@outlook.com. Exemple de texte :
Objet : Signalement sextorsion + spoofing expéditeur (Outlook)
Bonjour,
Je signale un courriel d’extorsion reçu le [date/heure], affichant mon adresse en expéditeur (spoofing).
Aucune preuve technique de compromission, menace de diffusion de vidéos et demande de 1 550 $ US en Litecoin sous 48 h.
Je joins les en‑têtes complets pour analyse.
Merci,
[Votre nom] Afficher les en‑têtes complets
- Outlook sur le web : ouvrez le message → menu … → Afficher l’original.
- Outlook pour Windows (classique) : double‑cliquez sur le message → Fichier → Propriétés → section En‑têtes Internet.
- Outlook pour Mac : ouvrez le message → menu Affichage → Source du message (ou analogue selon version).
Check‑list condensée (à garder sous la main)
- ☑ Ne payez pas, ne répondez pas.
- ☑ Signalez comme Hameçonnage dans Outlook, supprimez.
- ☑ Vérifiez Activité de connexion sur votre compte Microsoft.
- ☑ Changez le mot de passe (long et unique) + activez la MFA.
- ☑ Lancez une analyse antivirus complète, mettez à jour tous les appareils.
- ☑ Contrôlez règles/transferts/accessibilité de la boîte aux lettres.
- ☑ Vérifiez vos adresses dans « Have I Been Pwned ».
- ☑ Si domaine perso : configurez SPF, DKIM, DMARC.
- ☑ Conservez les preuves et signalez à
reportphishing@apwg.org/abuse@outlook.com.
Annexe technique : lire les en‑têtes pour distinguer spoofing et compromission
Les éléments-clés :
- Received: trace chaque serveur. Suivez la première entrée fiable (en bas) pour identifier l’IP d’origine.
- Authentication‑Results: résultats SPF, DKIM, DMARC (
pass/fail/none). - Return‑Path : adresse de retour effective (souvent différente de
From:en cas d’usurpation). - Message‑ID et Date : peuvent révéler un service tiers d’envoi.
Exemple simplifié :
Received: from smtp-123.fakehost.example (203.0.113.45)
by mx.microsoft.com with ESMTPS id ABC123
Authentication-Results: mx.microsoft.com; spf=fail; dkim=none; dmarc=fail
Return-Path: <random@mailer-bad.example>
From: "Votre Nom" <vous@votredomaine.tld>
To: vous@votredomaine.tld
Subject: URGENT : paiement requis
Date: Mon, 06 Oct 2025 08:32:10 +0000
Ici, spf=fail et dmarc=fail suggèrent une usurpation. À l’inverse, si vous voyez spf=pass, dkim=pass pour votre domaine et que les serveurs d’envoi correspondent réellement à votre service de messagerie, suspectez une compromission : changez le mot de passe, activez MFA et inspectez règles/transferts.
Scénarios et décisions rapides
| Indices observés | Diagnostic probable | Mesure principale |
|---|---|---|
| Aucune connexion suspecte · En‑têtes SPF/DKIM/DMARC non conformes · Adresse Return‑Path inconnue | Usurpation (spoofing) | Signaler, supprimer, ignorer. Renforcer SPF/DKIM/DMARC si domaine perso. |
| Connexions depuis pays inconnus · Règles de transfert ajoutées · Éléments envoyés suspects | Compromission de compte | Changer mot de passe, activer MFA, révoquer sessions/tokens, vérifier appareils. |
| Mot de passe exposé dans le message (ancien), aucune connexion suspecte | Exploitation de fuites anciennes | Changer tous les mots de passe réutilisés, MFA, hygiène renforcée. |
Prévention à long terme (hygiène numérique)
- Mots de passe : gestionnaire dédié, mots de passe uniques et longs, pas d’e‑mail/réutilisation.
- MFA partout : Microsoft, banques, réseaux sociaux, stockage cloud.
- Mises à jour : activez les mises à jour automatiques de l’OS, des navigateurs et des applications.
- Navigateurs : limitez les extensions, supprimez celles que vous n’utilisez pas. Activez le blocage du pistage.
- Sauvegardes : effectuez des sauvegardes chiffrées et testez la restauration.
- Vie privée : réfléchissez avant de publier des informations personnelles qui facilitent l’ingénierie sociale.
- Formation : sensibilisez votre famille et vos collègues ; simulez des scénarios de phishing pour vous entraîner à reconnaître les signaux d’alerte.
Points‑clefs à retenir
- La très grande majorité des sextorsions sont des arnaques de masse sans intrusion.
- Un From: identique à votre adresse ne prouve pas un piratage ; c’est souvent du spoofing.
- Ne payez jamais. Signalez, supprimez, sécurisez vos comptes et appareils.
- Activez la MFA et adoptez des mots de passe uniques : ces deux leviers bloquent la majorité des compromissions.
- Si vous êtes propriétaire de domaine, SPF/DKIM/DMARC réduisent l’usurpation « évidente ».
Exemple de réponse interne (si vous devez informer votre équipe)
Résumé : tentative de sextorsion reçue ce jour, usurpation d’adresse expéditeur.
Impact : nul, aucune compromission confirmée.
Actions réalisées : signalement comme hameçonnage, suppression, vérification activité Microsoft, changement mot de passe + MFA, analyse antivirus complète.
Suivi : surveillance 7 jours + sensibilisation équipe.
Conclusion
En appliquant immédiatement les étapes décrites (ne pas payer, signaler, vérifier l’activité de votre compte Microsoft, changer le mot de passe, activer la MFA, analyser vos appareils et vous former), vous neutralisez efficacement ce type d’extorsion et améliorez durablement votre cybersécurité. La clé est de reprendre le contrôle : décisions calmes, gestes techniques simples, et prévention continue.