Depuis 1994 — plus de trente ans à décrypter l'informatique pour vous amilog6.com
Dépannage6 min de lecture

Usurpation d'adresse email (spoofing) : quelqu'un envoie en votre nom

Contrairement à un piratage réel de compte, le spoofing d'adresse email ne nécessite aucun accès à votre boîte de réception — l'attaquant falsifie simplement le champ "expéditeur" affiché, une technique ancienne mais toujours largement exploitée.

Comprendre la différence avec un vrai piratage

Le protocole email de base (SMTP) permet historiquement d'inscrire n'importe quelle adresse dans le champ "De :" sans validation stricte — un peu comme écrire n'importe quel expéditeur au dos d'une enveloppe papier. Un email "spoofé" n'implique donc pas nécessairement que votre compte ait été compromis : l'attaquant n'a jamais eu besoin de s'y connecter.

Vérifier si votre compte est réellement compromis

  1. Consultez le dossier "Éléments envoyés" de votre messagerie — si les emails suspects n'y figurent pas, ils n'ont pas été envoyés depuis votre compte réel, confirmant un simple spoofing.
  2. Vérifiez les connexions récentes à votre compte (disponible dans les paramètres de sécurité de Gmail, Outlook, etc.) pour repérer une activité inhabituelle.
  3. Si aucune connexion suspecte n'apparaît et que rien n'est visible dans les éléments envoyés, votre compte n'est probablement pas compromis — seule votre adresse a été usurpée en apparence.

Que faire malgré tout, par précaution

  • Changez votre mot de passe si un doute subsiste, particulièrement s'il a pu fuiter ailleurs (vérifiez sur haveibeenpwned.com).
  • Activez la double authentification si ce n'est pas déjà fait.
  • Prévenez vos proches concernés que ces emails ne viennent pas réellement de vous, pour qu'ils restent vigilants sans paniquer.

Pourquoi les fournisseurs de messagerie luttent contre le spoofing

Des protocoles d'authentification (SPF, DKIM, DMARC) permettent aux serveurs de messagerie de vérifier qu'un email provient réellement du domaine qu'il prétend représenter. Gmail applique depuis fin 2025 des règles plus strictes qui rejettent activement les emails non authentifiés selon ces protocoles — un mécanisme qui réduit progressivement l'efficacité du spoofing basique, sans l'éliminer totalement.

Si vous gérez un nom de domaine personnalisé

Configurer correctement les enregistrements SPF, DKIM et DMARC sur votre propre domaine réduit considérablement le risque que des tiers usurpent votre adresse avec succès — une démarche technique généralement accessible via l'interface d'administration de votre hébergeur de domaine ou de votre service de messagerie professionnel.

Un email de chantage prétendant détenir des preuves compromettantes et affichant votre propre adresse comme expéditeur (voir notre article sur le chantage à la webcam) illustre exactement ce mécanisme de spoofing — l'affichage de votre adresse ne prouve absolument pas un accès réel à votre compte.