Un e‑mail de chantage prétend avoir installé « Pegasus » et semble partir de votre propre adresse (“Note à moi‑même”). Voici comment reconnaître l’usurpation, quoi faire immédiatement, et comment sécuriser Outlook et vos appareils pour éviter toute suite.
« Pegasus » : arnaque par chantage sexuel envoyée “depuis votre propre adresse”
Vue d’ensemble de la question
De très nombreux utilisateurs reçoivent un message menaçant affirmant que le logiciel espion « Pegasus » aurait été installé sur leurs appareils et que des vidéos « compromettantes » seraient envoyées à tous leurs contacts sous 48 h, sauf paiement en cryptomonnaie. Le message semble parfois provenir de leur propre adresse (libellé “Note to self / Note à moi‑même”), ce qui donne l’illusion d’un piratage réel.
Réponse & solutions (synthèse)
- Il s’agit d’un chantage massif (sextorsion), pas d’une infection Pegasus. Le contenu est générique, l’adresse crypto varie, le délai est arbitraire.
- La plupart de ces messages sont “usurpés” (spoofing) : l’expéditeur est falsifié sans que l’attaquant n’ait accès à votre compte.
- Ne payez pas, ne répondez pas, ne cliquez sur rien. Signalez le message comme hameçonnage, puis supprimez‑le.
- Vérifiez et renforcez la sécurité de vos comptes et appareils (étapes concrètes ci‑dessous).
- Cas rares à escalader : si vous voyez de vraies connexions inconnues à votre compte, des e‑mails sortants que vous n’avez pas envoyés, ou des règles de transfert/installations suspectes, traitez‑le comme un compromis de compte.
Comment savoir si l’e‑mail a été usurpé (spoofing) ?
Indices techniques dans les en‑têtes (headers)
Ouvrez les en‑têtes complets du message et cherchez les résultats d’authentification :
Authentication-Results: spf=fail/softfail ...; dkim=none; dmarc=fail ...
Received-SPF: Fail (protection.outlook.com: domain of hotmail.com does not designate X.X.X.X as permitted sender)
- SPF=fail : l’IP émettrice n’est pas autorisée à envoyer pour ce domaine.
- SPF=softfail : également non autorisé ; le domaine “déconseille” l’expéditeur. Dans ce contexte, c’est aussi du spoofing.
- DKIM=none : pas de signature cryptographique valide.
- DMARC=fail : l’e‑mail n’est pas aligné et doit être considéré comme suspect.
À retenir : fail et softfail sont tous deux de mauvais résultats pour un e‑mail censé venir réellement de votre adresse.
Pourquoi “ça vient de moi” / “Note to self” ?
De nombreux clients affichent “Note to self” dès que le champ From: correspond à votre adresse. Un attaquant peut mettre votre adresse dans From: sans s’être connecté à votre compte. C’est une simple falsification d’enveloppe SMTP, rendue possible quand l’authentification de l’expéditeur (SPF/DKIM/DMARC) échoue ou n’est pas vérifiée à l’arrivée.
Tableau de lecture rapide des résultats
| Résultat | Interprétation | Action recommandée |
|---|---|---|
| SPF=fail / softfail | Adresse IP non autorisée pour ce domaine | Considérez comme spoofing → Signalez puis supprimez |
| DKIM=none / fail | Pas de signature valide au nom du domaine | Même si From affiche “vous”, traitez comme frauduleux |
| DMARC=fail | Alignement SPF/DKIM échoué | Phishing probable → aucune action de paiement |
| SPF=pass + DKIM=pass + DMARC=pass | Émetteur réellement autorisé et aligné | Si vous n’avez pas envoyé : suspectez un compromis de compte |
Ce qu’il faut faire tout de suite (check‑list courte)
- Ne payez pas. Ne répondez pas.
- Signalez comme phishing dans Outlook/Hotmail (bouton Signaler → Hameçonnage), puis supprimez.
- Changez le mot de passe de votre compte Microsoft (unique et robuste) et activez l’authentification à deux facteurs (2FA).
- Vérifiez l’activité récente de connexion de votre compte Microsoft et fermez les sessions inconnues.
- Contrôlez votre boîte aux lettres :
- Règles : aucune suppression/redirection automatique non voulue,
- Transfert/renvoi : doit être désactivé si vous ne l’utilisez pas,
- POP/IMAP : désactivez‑les si inutiles.
- Passez un scan antivirus complet avec un outil fiable (p. ex. Microsoft Defender intégré). Mettez Windows/macOS/iOS/Android à jour.
- Si vous aviez cliqué/téléchargé quelque chose (pièce jointe, lien de “vérification”) : changez tous les mots de passe saisis depuis l’appareil, refaites un scan, et envisagez une réinitialisation si des symptômes persistent.
Important : Aucun outil grand public ne “désinstalle Pegasus” (logiciel étatique hautement ciblé). Ici, on parle d’un chantage par e‑mail, pas d’une infection Pegasus réelle.
Afficher les en‑têtes complets (Outlook)
- Outlook sur le Web (Outlook.com/Hotmail) : ouvrez le message → … (Plus d’actions) → Afficher la source du message / Afficher l’original (libellé selon versions).
- Outlook pour Windows (classique) : ouvrez le message → Fichier → Propriétés → zone En‑têtes Internet.
- Nouveau Outlook (basé sur le Web) : message → … → Afficher la source du message.
- Mobile : l’affichage complet n’est pas toujours disponible ; ouvrez de préférence sur le Web ou le client de bureau.
Exemple d’en‑têtes (commenté)
From: VOUS <votre.adresse@example.com>
To: VOUS <votre.adresse@example.com>
Subject: URGENT: Pegasus installé - payez
Authentication-Results: dmarc=fail (p=reject) header.from=example.com;
spf=fail smtp.mailfrom=example.com; dkim=none
Received-SPF: Fail (domain of example.com does not designate 203.0.113.77 as permitted sender)
X-Commentaire: Alignement DMARC échoué + SPF fail + DKIM absent = spoofing.Étapes détaillées dans Outlook/Hotmail
Signaler le message
- Ouvrez l’e‑mail suspect.
- Cliquez sur Signaler → Hameçonnage.
- Supprimez le message (ou laissez‑le en quarantaine s’il a déjà été déplacé).
Changer le mot de passe & activer 2FA
- Accédez aux paramètres de votre compte Microsoft → Sécurité.
- Choisissez un mot de passe unique, long (≥12‑16 caractères) et non réutilisé.
- Activez la vérification en deux étapes via une application d’authentification (évitez le SMS si possible).
Vérifier l’activité et fermer les sessions
- Dans la section Activité de connexion, cherchez des connexions réussies depuis des lieux/appareils inconnus.
- Fermez toutes les sessions douteuses.
Contrôler les règles et le transfert
- Outlook → Paramètres → Courrier → Règles : supprimez toute règle qui transfère, supprime ou archive automatiquement vos messages sans votre accord.
- Transfert : vérifiez que le transfert/renvoi global n’est pas activé par surprise.
- POP/IMAP : désactivez si non utilisés, cela limite la surface d’attaque.
Créer une règle anti‑« De : moi‑même » (optionnel, avancé)
Objectif : envoyer à la corbeille les messages affichant votre adresse dans From: et portant la trace d’un échec d’authentification dans les en‑têtes.
- Outlook Web → Paramètres → Courrier → Règles → Ajouter une nouvelle règle.
- Nom : Anti‑spoof “De : moi‑même”.
- Conditions :
- L’expéditeur inclut votre propre adresse.
- Le message contient ces mots dans les en‑têtes :
dmarc=failOUspf=failOUsoftfail.
- Action : Déplacer vers → Éléments supprimés (ou Courrier indésirable).
- Exception (optionnel) : si l’expéditeur est un service légitime qui relaye vos messages (cas rares), ajoutez son domaine en exception.
Remarque : cette règle n’empêche pas la réception ; elle assainit simplement votre boîte. Elle n’est efficace que si votre interface permet de filtrer sur les en‑têtes.
Renforcer durablement votre sécurité (guides pratiques)
Comptes
- 2FA via application d’authentification (idéalement pas par SMS).
- Mots de passe tous différents ; utilisez un gestionnaire de mots de passe.
- Vérifiez/actualisez les informations de récupération (téléphone, adresse secondaire).
- Déconnectez toutes les sessions/appareils inconnus.
- Désactivez POP/IMAP et le transfert si vous n’en avez pas besoin.
Boîte aux lettres Outlook
- Inspectez Règles, Courrier indésirable, Adresses bloquées, Renvoi.
- Si votre interface le permet, créez une règle ciblant les en‑têtes (
dmarc=fail/spf=fail) pour les messages “De : vous‑même”.
Appareils
- Systèmes, navigateurs et applications à jour.
- Désactivez le chargement automatique des images externes dans le client mail (empêche le “pixel” d’ouverture).
- iOS/Android : évitez le sideloading ; supprimez les profils/MDM inconnus ; revoyez les autorisations d’accessibilité des apps.
- Activez l’isolation du navigateur (mode renforcé) si disponible ; préférez des extensions minimalistes et à jour.
Quand faut‑il s’inquiéter davantage ?
Considérez un compromis réel si plusieurs éléments suivants sont vrais :
- Connexions réussies et inconnues dans l’activité de connexion.
- Messages envoyés que vous n’avez pas écrits.
- Règles/transferts ajoutés sans votre accord.
- Les en‑têtes montrent
SPF=passetDKIM=passetDMARC=passalignés sur votre domaine alors que vous n’avez pas envoyé le message.
Dans ce cas : changez le mot de passe, révoquez toutes les sessions, supprimez règles/transferts, vérifiez les appareils, et demandez assistance (support Microsoft ou professionnel de sécurité).
Questions fréquentes issues de la discussion
« SPF=softfail », c’est grave ?
Oui, dans ce contexte c’est aussi un indicateur que l’expéditeur n’est pas autorisé (usurpation probable). Fail ou softfail ⇒ traitez le message comme frauduleux.
Rien dans “Éléments envoyés”, suis‑je sûr de ne pas être piraté ?
C’est un bon signe. Combinez avec l’activité de connexion et l’absence de règles/transferts suspects.
Pourquoi je ne peux pas me bloquer moi‑même ?
Parce que l’adresse d’envoi affichée est la vôtre. Utilisez Signaler → Hameçonnage et, si besoin, une règle ciblant les en‑têtes (voir plus haut) plutôt qu’un blocage d’adresse.
L’expéditeur “sait” si j’ouvre l’e‑mail ?
Seulement si les images distantes/pixels de suivi sont chargés. Par défaut, beaucoup de clients les bloquent. Ne cliquez sur aucun lien.
Je suis mineur·e et j’ai reçu ce message.
Parlez‑en immédiatement à un adulte de confiance (parent, enseignant) et signalez le message. Ne payez pas et ne répondez pas.
Le message affiche un ancien mot de passe à moi.
Les escrocs réutilisent des données d’anciennes fuites pour paraître crédibles. Changez ce mot de passe (et ceux réutilisés), activez la 2FA et vérifiez l’activité de connexion.
Signaler l’arnaque
- Dans Outlook/Hotmail : utilisez Signaler → Hameçonnage.
- Vous pouvez également signaler à votre autorité locale de lutte contre la cybercriminalité.
- Conservez l’e‑mail complet avec en‑têtes et la date de réception.
À propos de « Pegasus »
Pegasus est un outil très coûteux, utilisé de manière ultra‑ciblée (journalistes, responsables, militants). Les messages de masse exigeant 1 000–2 000 $ en crypto et parlant de “webcam” n’en sont pas des indicateurs. Le risque réel ici est le chantage, pas un “Pegasus” installé.
Exemples d’en‑têtes : cas typiques et lecture
| Cas | Extrait d’en‑tête | Analyse | Action |
|---|---|---|---|
| Spoofing évident | Authentication-Results: spf=fail; dkim=none; dmarc=fail | Ni SPF ni DKIM ne valident. From usurpé. | Signaler → Supprimer |
| Softfail SPF | Received-SPF: softfail (transition) | IP non autorisée, domaine “déconseille”. | Traitez comme frauduleux |
| Forwarding légitime | spf=fail; dkim=pass; dmarc=pass | Le transfert casse SPF mais DKIM sauve DMARC. | Évaluez le contenu ; si douteux, signalez |
| Compromis possible | spf=pass; dkim=pass; dmarc=pass avec votre domaine | Émetteur aligné. Si vous n’avez rien envoyé : alerte. | Changez mot de passe, fermez sessions, 2FA |
Pour les administrateurs Microsoft 365 (optionnel)
- Implémentez SPF correctement (listez uniquement vos émetteurs) et surveillez le nombre de
~all(softfail) vs-all(fail). - Activez et surveillez DMARC : commencez par
p=noneavec agrégats, puis montez versp=quarantine/p=rejectpour réduire le spoofing de votre domaine. - Exigez DKIM pour vos domaines expéditeurs ; tournez régulièrement les sélecteurs.
- Utilisez les politiques anti‑spoof/anti‑phishing natives ; faites remonter les faux positifs/négatifs.
- Bloquez ou restreignez POP/IMAP hérités si non nécessaires.
- Activez la 2FA obligatoire pour tous les comptes, avec accès conditionnel.
Scénarios concrets & décisions rapides
| Signal d’alerte | Probabilité | Ce que cela suggère | Action immédiate |
|---|---|---|---|
| “Note à moi‑même”, paiement crypto, 48 h | Très élevé (arnaque) | Sextorsion de masse | Signaler → Supprimer |
From = vous, spf=fail | Élevé (spoofing) | Usurpation de domaine | Aucune réponse, ne payez pas |
From = vous, spf/dkim/dmarc = pass | Faible mais sérieux | Compromis possible | Révoquer sessions, 2FA, audit règles |
| Message inclut un ancien mot de passe | Moyen | Données issues d’une fuite | Changer mots de passe, 2FA |
Bonnes pratiques de rédaction de mots de passe
- Privilégiez des phrases de passe longues (ex. 4‑5 mots aléatoires + séparateurs).
- N’utilisez jamais le même mot de passe pour deux services.
- Activez la 2FA partout où c’est possible.
- Conservez vos secrets dans un gestionnaire réputé.
Résumé opérationnel (en une minute)
- C’est une arnaque par usurpation.
- Signalez → supprimez → ne payez pas.
- Changez le mot de passe + activez 2FA → vérifiez activité, règles, transfert, POP/IMAP.
- Mettez à jour et scannez vos appareils avec un antivirus fiable.
- En cas d’indices forts de compromis, appliquez les mesures “cas rares” et demandez de l’aide.
Checklist imprimable
| Action | Statut | Notes |
|---|---|---|
| Signaler le message comme hameçonnage | ☐ | Outlook : bouton Signaler |
| Supprimer le message | ☐ | Ne pas répondre |
| Changer le mot de passe Microsoft | ☐ | Unique, long, non réutilisé |
| Activer la 2FA | ☐ | Application d’authentification |
| Vérifier l’activité de connexion | ☐ | Fermer les sessions inconnues |
| Contrôler règles / transfert / POP‑IMAP | ☐ | Désactiver tout ce qui est suspect |
| Mettre à jour OS & antivirus | ☐ | Scanner complet |
| Si clic/téléchargement : rotation des mots de passe | ☐ | Sur tous les services touchés |
Modèle court à envoyer à un proche
J’ai reçu un e‑mail prétendant avoir installé “Pegasus” et demandant un paiement.
C’est une arnaque d’usurpation (“spoofing”). Je l’ai signalé puis supprimé.
Je change mes mots de passe, j’active la 2FA et je vérifie mes sessions/règles.
Ne paie pas, ne réponds pas et signale si tu reçois la même chose.En appliquant ces étapes, vous neutralisez l’arnaque, vous renforcez votre sécurité sur Outlook/Hotmail et vous réduisez durablement les risques d’usurpation et de sextorsion par e‑mail.