Spoofing d’adresse email : pourquoi votre propre adresse apparaît comme expéditeur (et comment s’en protéger)

Contexte — un email inventé, mais typique

De : jean.dupont@entreprise.com
À : jean.dupont@entreprise.com
Objet : Your password may no longer be secure

“J’ai installé un virus sur vos appareils et enregistré vos activités. Payez 1 670 $ en bitcoins sous 48 h ou j’enverrai des vidéos compromettantes à vos contacts.”

L’adresse affichée dans From: semble être la vôtre. Pourtant l’email a été injecté depuis un serveur tiers et usurpe visuellement votre identité d’expéditeur.

Pourquoi et comment cela fonctionne

Le protocole SMTP permet de définir librement l’expéditeur (From:) et l’enveloppe (MAIL FROM). Sans contrôles, n’importe qui peut “signer” au nom de votre adresse. D’où l’importance des mécanismes modernes :

• SPF — dresse la liste des serveurs autorisés à envoyer pour votre domaine.
• DKIM — signe cryptographiquement les messages légitimes du domaine.
• DMARC — impose la politique à appliquer si SPF/DKIM échouent (quarantine/reject) et alimente vos rapports.

Un email usurpé échouera DMARC et sera placé en indésirable ou rejeté, si votre politique est correctement configurée (p=quarantine ou p=reject).

À ne pas faire / À faire

Nos recommandations Ebitdata

1. Verrouiller vos domaines : SPF strict (aucun “~all” tolérant), DKIM opérationnel sur tous vos flux, DMARC avec p=reject et agrégation des rapports (RUA/RUF).
2. Cartographier tous les émetteurs (ERP, CRM, SaaS, M365/Google, routeurs, outils marketing) pour éviter les faux positifs DMARC.
3. Durcir la messagerie : MTA-STS/TLS-RPT, BIMI (si pertinent), règles d’anti-impersonation (display name / look-alike).
4. Former et tester : campagnes anti-phishing, playbooks d’escalade, exercices de table-top.
5. Superviser et auditer : revue régulière des rapports DMARC, KPIs de délivrabilité, audit de configuration trimestriel.