Usurpation d'adresse email (spoofing) : quelqu'un envoie en votre nom
Contrairement à un piratage réel de compte, le spoofing d'adresse email ne nécessite aucun accès à votre boîte de réception — l'attaquant falsifie simplement le champ "expéditeur" affiché, une technique ancienne mais toujours largement exploitée.
Comprendre la différence avec un vrai piratage
Le protocole email de base (SMTP) permet historiquement d'inscrire n'importe quelle adresse dans le champ "De :" sans validation stricte — un peu comme écrire n'importe quel expéditeur au dos d'une enveloppe papier. Un email "spoofé" n'implique donc pas nécessairement que votre compte ait été compromis : l'attaquant n'a jamais eu besoin de s'y connecter.
Vérifier si votre compte est réellement compromis
- Consultez le dossier "Éléments envoyés" de votre messagerie — si les emails suspects n'y figurent pas, ils n'ont pas été envoyés depuis votre compte réel, confirmant un simple spoofing.
- Vérifiez les connexions récentes à votre compte (disponible dans les paramètres de sécurité de Gmail, Outlook, etc.) pour repérer une activité inhabituelle.
- Si aucune connexion suspecte n'apparaît et que rien n'est visible dans les éléments envoyés, votre compte n'est probablement pas compromis — seule votre adresse a été usurpée en apparence.
Que faire malgré tout, par précaution
- Changez votre mot de passe si un doute subsiste, particulièrement s'il a pu fuiter ailleurs (vérifiez sur haveibeenpwned.com).
- Activez la double authentification si ce n'est pas déjà fait.
- Prévenez vos proches concernés que ces emails ne viennent pas réellement de vous, pour qu'ils restent vigilants sans paniquer.
Pourquoi les fournisseurs de messagerie luttent contre le spoofing
Des protocoles d'authentification (SPF, DKIM, DMARC) permettent aux serveurs de messagerie de vérifier qu'un email provient réellement du domaine qu'il prétend représenter. Gmail applique depuis fin 2025 des règles plus strictes qui rejettent activement les emails non authentifiés selon ces protocoles — un mécanisme qui réduit progressivement l'efficacité du spoofing basique, sans l'éliminer totalement.
Si vous gérez un nom de domaine personnalisé
Configurer correctement les enregistrements SPF, DKIM et DMARC sur votre propre domaine réduit considérablement le risque que des tiers usurpent votre adresse avec succès — une démarche technique généralement accessible via l'interface d'administration de votre hébergeur de domaine ou de votre service de messagerie professionnel.