Qu’est-ce que le Spoofing ?

Vous venez de recevoir un email non sollicité qui semble avoir été envoyé depuis une adresse email liée à votre nom de domaine

Cette technique est plus connue sous le nom de « Spoofing », elle implique que l’expéditeur fasse en sorte que le courriel semble venir de votre propre adresse.

Note

Si vous êtes destinataire d’un tel e-mail, cela ne signifie pas que votre adresse a été piratée, ni que le courriel provient de chez vous, mais simplement que votre adresse email a été usurpée (c’est ce qui est communément appelé « Spoofing »).

C’est un peu comme si vous vouliez empêcher quelqu’un d’inscrire votre adresse postale au dos d’une enveloppe papier.

Votre boite mail a-t-elle été compromise ?

Tout ce qu’il faut pour créer un email de « Spoofing » est l’adresse email elle-même. À moins d’autres signes que l’envoyeur ait pu avoir accès à votre compte ou à des informations personnelles, par exemple s’il a envoyé un email à toute votre liste de contacts, il est vraisemblable qu’il n’y ait eu aucun accès à des informations personnelles.

Les propriétaires de noms de domaine sont la cible préférée des attaques de Spoofing car il est facile de deviner des adresses emails communes existant pour de nombreux noms de domaine. Par exemple vous pouvez recevoir un email affirmant provenir de « admin@example.com », où example.com est un nom de domaine en votre possession.

La réponse à ce genre de mail (en cliquant un lien fourni dans le mail, ou via une image téléchargée) leur permet aussi de vérifier si une adresse email existe, et donc de possiblement la vendre à des spammeurs professionnels.

Note

Pour éviter la validation de votre adresse email, désactivez le chargement automatique des images dans les emails et ne cliquez les liens que si vous êtes certain de l’endroit où vous êtes censé aller. Survoler un lien permet généralement d’afficher celui-ci (dans la plupart des clients mail), et si vous voyez un lien finissant par un code (exemple : ….example.com?id=448de478de487de89756s96) il y a de fortes chances que ce soit un lien de validation de l’adresse email.

Que puis-je faire si je reçois ou si je suis notifié de la réception d’un email de Spoofing ?

Voici quelques conseils pour minimiser le Spoofing lié à vos adresses email, afin d’éviter que votre compte de messagerie soit falsifié (lorsque les spammeurs envoient un courrier de telle sorte que le courrier semble avoir été envoyé à partir de votre adresse e-mail):

  1. Ne publiez pas votre adresse électronique sur vos pages web, mais utilisez plutôt des formulaires web pour recevoir des courriels. Si vous souhaitez publier votre adresse e-mail, placez-la dans une image. De cette façon, les robots d’exploration de sites web ne peuvent pas parcourir vos pages web et extraire le codage pour obtenir votre adresse électronique.

  2. N’utilisez pas votre adresse électronique principale sur des forums publics, des listes de diffusion, des newsletters, etc. De même, ne communiquez pas votre adresse électronique à des concours ou des tirages, car les informations sont souvent détournées à des fins de campagnes marketing.

  3. Évitez de créer des adresses email génériques ou faciles à deviner (comme contact@, admin@, info@, etc.).

Existe-t-il des moyens pour aider mes contacts à savoir si un email avec mon adresse est réel ou falsifié ?

Il existe quelques protocoles techniques permettant d’aider à vérifier l’authenticité de vos emails. Ces méthodes sont gérées automatiquement par les serveurs mails d’envoi et de réception, en arrière plan et ne requièrent pas votre intervention ou celle du destinataire une fois mis en place. Ces méthodes ne sont malheureusement pas infaillible au sens où tous les serveurs de réception ne les gèrent pas obligatoirement, mais ils auront au moins le mérite de rassurer vos destinataires utilisant des serveurs mails soucieux de sécurité. Vous pouvez trouver de plus amples informations sur ces outils anti spoofing sur la page de notre documentation dédiée.