Blog

Qu’est-ce que l’usurpation d’adresse électronique ? Définition et fonctionnement

DéBounce
Articles
21 min de lecture
Thèmes

Partagez cet article

Copier le lien

Points clés à retenir

  • Les auteurs d'attaques par usurpation d'identité manipulent les en-têtes de courriel pour afficher les noms et adresses d'expéditeurs de confiance sans accéder aux comptes réels, ce qui donne aux messages une apparence légitime.
  • Les protocoles d'authentification constituent la principale défense. Des enregistrements SPF, DKIM et DMARC correctement configurés empêchent l'usurpation de votre domaine et aident les fournisseurs de messagerie à filtrer les messages falsifiés.
  • Maintenir des listes de contacts vérifiées grâce à des mesures d'hygiène régulières permet de limiter les données que les attaquants peuvent utiliser pour concevoir des messages falsifiés convaincants.

Vous recevez un courriel de votre banque vous demandant de vérifier d'urgence les informations de votre compte. Le nom de l'expéditeur semble correct. L'adresse courriel vous est familière. Vous cliquez sur le lien, saisissez votre mot de passe et réalisez seulement après coup que la page n'était pas le site web de votre banque.

L'usurpation d'adresse électronique rend cela possible. C'est l'une des techniques les plus courantes utilisées dans les attaques d'hameçonnage, les fraudes et la diffusion de logiciels malveillants. Elle fonctionne car les gens font instinctivement confiance aux courriels qui semblent provenir de sources familières. Ce qui rend l'usurpation d'adresse électronique particulièrement dangereuse, c'est que les attaquants n'ont pas besoin de pirater le véritable compte de quiconque. Ils manipulent les champs techniques qui contrôlent l'affichage des informations de l'expéditeur dans votre boîte de réception, rendant ainsi un message d'apparence légitime sans jamais accéder au système qu'il prétend représenter.

Comprendre le fonctionnement de l'usurpation d'adresse électronique permet de repérer plus facilement les signaux d'alerte précoces et de prendre des mesures concrètes pour protéger les courriels personnels et professionnels contre toute exploitation.

Qu'est-ce que l'usurpation d'adresse électronique ?

L’usurpation d’identité par courriel consiste à falsifier délibérément les informations de l’expéditeur afin de faire croire qu’un message provient d’une personne ou d’un lieu différent. L’adresse « De », le nom de l’expéditeur ou le champ « Répondre à » sont manipulés pour afficher une identité de confiance, comme celle d’un collègue, d’une banque, d’un organisme gouvernemental ou d’une marque connue, alors que la véritable source d’envoi est totalement différente.

En quoi les courriels falsifiés diffèrent-ils des courriels normaux ?

Les informations techniques d'envoi et les informations d'expéditeur affichées dans un courriel légitime correspondent. Lorsque votre collègue vous envoie un courriel, l'adresse affichée dans votre boîte de réception correspond à l'adresse qui a réellement transmis le message via les serveurs de messagerie.

Dans un courriel falsifié, ces informations ne correspondent pas. Le nom ou l'adresse de l'expéditeur affiché(e) est falsifié(e), tandis que la transmission réelle provient d'un serveur différent, souvent indépendant et contrôlé par l'attaquant. Les destinataires ne voient que les informations affichées, et non les détails techniques de routage dissimulés dans les en-têtes du courriel.

Pourquoi les attaquants usurpent-ils l'identité des e-mails ?

L'usurpation d'identité sert plusieurs objectifs selon l'attaque :

  • Vol d'identifiants : Diriger les destinataires vers de fausses pages de connexion qui capturent les noms d'utilisateur et les mots de passe
  • Fraude financière: Se faire passer pour des dirigeants ou des fournisseurs afin d'autoriser des paiements frauduleux
  • Livraison de logiciels malveillants : Inciter les destinataires à ouvrir des pièces jointes ou à cliquer sur des liens qui installent des logiciels malveillants
  • Dommages à la marque : Envoyer des spams ou du contenu nuisible en usurpant l'identité d'une organisation légitime

Les données montrent que L’hameçonnage représente encore plus de 90 % des incidents d’ingénierie sociale signalés, et l’usurpation d’adresse électronique est une technique fondamentale qui permet la plupart de ces attaques.

Comment fonctionne l'usurpation d'e-mail ?

L'usurpation d'identité par courriel exploite une faille du protocole SMTP (Simple Mail Transfer Protocol), la technologie utilisée pour l'envoi de courriels. Lors de sa conception initiale, le protocole SMTP ne comportait pas de mécanisme intégré de vérification de l'identité de l'expéditeur.

Chaque courriel contient des en-têtes : des champs de métadonnées techniques qui enregistrent les détails de la transmission, comme le serveur d’envoi, l’horodatage et les informations sur l’expéditeur. Les principaux en-têtes ciblés par les attaquants sont :

  • À partir de L'adresse affichée aux destinataires dans leur boîte de réception
  • Répondre à: Où les réponses sont adressées lorsque les destinataires répondent
  • Return-Path: Où vont les notifications de retour (révélant souvent la véritable adresse d'envoi)

Le protocole SMTP permet aux expéditeurs de paramétrer ces champs à leur guise. Lorsqu'un client de messagerie affiche un message, il indique la valeur du champ « De », et non les détails de transmission sous-jacents. Ce décalage entre ce que les utilisateurs voient et ce qui est réellement transmis constitue la vulnérabilité exploitée par l'usurpation d'identité.

Les attaquants utilisent des serveurs SMTP (les leurs, des serveurs compromis ou des relais ouverts) pour envoyer des messages dont les en-têtes sont manipulés. Ils indiquent une adresse de confiance dans le champ « De » (votre banque, votre PDG, un fournisseur connu), alors que le serveur d'envoi n'a aucun lien avec cette organisation. La plupart des destinataires ne vérifient que le nom et l'adresse affichés, ce qui rend la falsification au niveau de l'affichage extrêmement efficace.

Le rôle des lacunes d'authentification

Les protocoles d'authentification correctement configurés (SPF, DKIM, DMARC) sont conçus pour détecter l'usurpation d'identité en vérifiant que les serveurs d'envoi sont autorisés à envoyer des e-mails au nom des domaines revendiqués. Cependant, Microsoft Research Une étude de 2025 a révélé que les infrastructures de messagerie partagées amplifient considérablement les vulnérabilités liées à l'usurpation d'identité et que les techniques de contrebande SMTP permettent aux attaquants de contourner les protections SPF et DMARC dans certaines configurations, soulignant ainsi pourquoi l'authentification seule ne constitue pas une solution complète.

Le Courriel du chemin de retour Ce champ révèle souvent la véritable adresse d'envoi, mais la plupart des destinataires et même de nombreux outils de sécurité ne l'examinent pas d'assez près lors de l'évaluation initiale de la livraison.

Types courants d'attaques par usurpation d'adresse électronique

L’usurpation d’identité prend plusieurs formes, et chacune exploite différents aspects de la manière dont les informations relatives à l’expéditeur d’un courriel sont affichées et traitées.

Qu'est-ce que l'usurpation d'adresse e-mail ?

Usurpation d'identité visuelle

L'usurpation d'identité ne modifie que le nom de l'expéditeur visible, tout en utilisant une adresse e-mail complètement différente, souvent sans aucun rapport. Votre boîte de réception affiche « Sarah Chen, PDG », mais l'adresse d'envoi réelle est quelque chose comme : [email protected] ou un domaine manifestement sans rapport.

Cette technique fonctionne car de nombreux clients de messagerie affichent clairement le nom de l'expéditeur, tandis que l'adresse apparaît en plus petit ou est totalement masquée sur mobile. Les attaquants misent sur le fait que les destinataires se concentrent sur le nom plutôt que sur l'adresse complète. Parmi les cibles fréquentes figurent les dirigeants, les services informatiques et les institutions financières, dont les noms sont reconnus et dignes de confiance.

Usurpation de domaine

L'usurpation de domaine utilise des domaines falsifiés ou similaires pour faire paraître légitimes les adresses d'envoi au premier abord. Au lieu d'envoyer des e-mails depuis company.com, les attaquants enregistrent company-inc.com, cornpany.com ou c0mpany.com, et parviennent souvent à tromper la vigilance du système lors d'une simple vérification visuelle.

Cette approche est particulièrement dommageable pour les entreprises, car les attaquants peuvent usurper l'identité d'organisations entières, et non seulement d'individus. Les clients recevant des courriels provenant d'un domaine usurpé peuvent effectuer des paiements, divulguer des informations de compte ou télécharger des logiciels malveillants, croyant interagir avec une entreprise légitime.

Le Monitoring plusieurs enregistrements SPF et s'assurer que l'authentification est correctement configurée empêche que votre propre domaine soit utilisé de cette manière contre vos clients et partenaires.

Usurpation d'adresse directe

L'usurpation d'adresse directe consiste à falsifier le champ « De » pour afficher une adresse électronique réelle et légitime que l'attaquant ne contrôle pas. Techniquement, c'est la méthode la plus convaincante car les destinataires voient une adresse réelle et reconnaissable (et non une adresse usurpée) dans leur boîte de réception.

Cela repose sur l'absence de contrôle strict du protocole DMARC sur le domaine usurpé. Lorsque les organisations n'ont pas configuré DMARC pour rejeter ou mettre en quarantaine les messages non authentifiés, les attaquants peuvent utiliser leurs véritables adresses dans le champ « De » avec une quasi-certitude que les messages parviendront à leurs destinataires. L'usurpation d'adresse directe est couramment utilisée dans les attaques par compromission de messagerie professionnelle et par usurpation d'identité de dirigeants.

Signes d'un courriel falsifié

Les messages falsifiés sont conçus pour paraître légitimes, mais un examen attentif révèle des incohérences.

Problèmes liés à l'adresse de l'expéditeur :

  • Le nom affiché et l'adresse électronique réelle ne correspondent pas.
  • Le domaine contient de subtiles fautes d'orthographe (paypa1.com, arnazon.com, company-support.com).
  • L'adresse utilise un fournisseur gratuit (Gmail, Yahoo) pour ce qui devrait être une communication d'entreprise.
  • L'adresse de réponse diffère de l'adresse d'envoi, redirigeant les réponses vers des comptes contrôlés par l'attaquant.

Urgence inattendue et demandes inhabituelles :

  • tactiques de pression telles que « Action immédiate requise » ou « Répondre avant la fin de la journée ».
  • Demandes de transfert de fonds, de modification des informations de paiement ou de partage d'identifiants inattendues
  • Instructions pour contourner les procédures normales (« Ne pas suivre la procédure d'approbation habituelle »)
  • Demandes de cartes-cadeaux, de virements bancaires vers de nouveaux comptes ou d'informations confidentielles

Incohérences de langue et de mise en forme :

  • Un ton ou un style d'écriture qui ne correspond pas à la communication habituelle de l'expéditeur supposé.
  • Des formules de salutation génériques (« Cher client », « Cher utilisateur ») au lieu de votre nom.
  • Des fautes de grammaire ou d'orthographe incompatibles avec une organisation professionnelle
  • La mise en forme diffère légèrement de celle des messages légitimes que vous avez reçus auparavant.

Risques liés aux liens et aux pièces jointes :

  • Survolez les liens avant de cliquer ; l’URL affichée indique un domaine, mais l’URL de destination réelle en indique un autre.
  • Des pièces jointes inattendues, notamment des fichiers exécutables ou des documents Office demandant l'activation des macros.
  • Liens pointant vers des pages HTTP (et non HTTPS) ou des domaines avec des extensions suspectes

Nettoyage des courriels Adopter de bonnes habitudes, comme prendre le temps de réfléchir avant de répondre à des demandes urgentes et vérifier les informations par des canaux distincts, réduit le risque de se laisser piéger par des messages falsifiés bien conçus.

Usurpation d'adresse électronique vs. Hameçonnage

L’usurpation d’adresse électronique et le phishing sont des concepts étroitement liés mais distincts, souvent confondus. L'hameçonnage L'hameçonnage est une stratégie d'attaque visant à tromper les destinataires afin qu'ils divulguent des informations sensibles, cliquent sur des liens dangereux ou téléchargent des logiciels malveillants. L'objectif est l'escroquerie elle-même.

Usurpation d'e-mailL’usurpation d’identité, en revanche, est une technique utilisée pour rendre les attaques de phishing plus convaincantes. Elle consiste à faire croire que le message provient d’une source fiable, augmentant ainsi la probabilité que les destinataires fassent confiance au contenu frauduleux et y donnent suite.

Usurpation d'adresse électronique vs hameçonnage

L'usurpation d'identité n'est pas systématique : certains courriels frauduleux proviennent d'adresses légitimes contrôlées par des attaquants. De même, l'usurpation d'identité n'est pas toujours de l'hameçonnage : elle sert parfois simplement à diffuser du spam en masquant le véritable expéditeur. Cependant, la combinaison de l'usurpation d'identité et de l'hameçonnage est particulièrement efficace et représente la majorité des fraudes par courriel.

La compréhension de ces deux concepts permet de clarifier pourquoi les défenses doivent fonctionner à deux niveaux : des contrôles techniques qui interceptent les messages falsifiés avant leur distribution, et une sensibilisation des utilisateurs qui permet de repérer les contenus trompeurs qui parviennent à passer.

Comment se protéger contre l'usurpation d'adresse électronique

Une protection efficace exige des habitudes différentes au niveau individuel et des contrôles techniques renforcés au niveau organisationnel.

Pour les individus

Comment se protéger contre l'usurpation d'adresse électronique

Pour rester en sécurité, il est souvent judicieux de prendre son temps et de vérifier l'authenticité des messages inattendus avant d'y répondre. Les étapes ci-dessous permettent de réduire le risque de réagir à un courriel frauduleux.

  • Vérifiez avant d'agir : Toute demande inattendue impliquant des identifiants, des paiements ou des données sensibles doit être confirmée par un canal distinct. Appelez l'expéditeur présumé à l'aide d'un numéro que vous aurez trouvé vous-même, et non celui indiqué dans le message.
  • Vérifiez attentivement les adresses de l'expéditeur : Ne vous fiez pas uniquement au nom affiché. Cliquez ou survolez le nom de l'expéditeur pour afficher l'adresse électronique complète et vérifiez que le domaine correspond bien à l'organisation que le message prétend représenter.
  • Activer l'authentification multifacteur (MFA) : Même si les attaquants obtiennent des identifiants par le biais d'une tentative d'usurpation d'identité ou d'hameçonnage, l'authentification multifacteur bloque l'accès à moins qu'ils ne disposent également du deuxième facteur de vérification.
  • Signaler les messages suspects : Utilisez la fonction « Signaler le phishing » ou « Signaler le spam » de votre client de messagerie. Le signalement améliore le filtrage de votre propre boîte de réception et renforce les systèmes de détection des autres utilisateurs.
  • Gardez le logiciel à jour : Les correctifs de sécurité des clients de messagerie et des systèmes d'exploitation corrigent les vulnérabilités exploitées par les attaquants, notamment celles liées aux contenus malveillants diffusés par le biais de courriels usurpés.

Pour les entreprises

Comment protéger votre entreprise contre l'usurpation d'adresse électronique

Les organisations doivent combiner authentification, surveillance et sensibilisation des employés afin de réduire les risques techniques et humains.

  • Configurer les protocoles d'authentification des e-mails : Mettre en place SPF, DKIM et DMARC Les enregistrements DMARC concernent tous les domaines d'envoi, y compris les sous-domaines et les services tiers. Une politique d'application DMARC, telle que p=reject ou p=quarantine, empêche les messages non authentifiés prétendant provenir de votre domaine d'atteindre leurs destinataires. Une mauvaise configuration demeure l'une des principales causes du succès persistant de l'usurpation d'identité.
  • Surveiller les abus de domaine : Surveillez si votre domaine est utilisé dans des campagnes d'usurpation d'identité grâce aux rapports DMARC, qui affichent tous les e-mails prétendant provenir de votre domaine, y compris les tentatives non autorisées.
  • Former régulièrement les employés : Les sessions de sensibilisation à la sécurité doivent aborder des scénarios spécifiques d'usurpation d'identité. Les employés doivent être capables de reconnaître l'usurpation d'identité visuelle, les domaines similaires, les demandes de paiement inhabituelles et les tentatives de contournement des procédures.
  • Valider et tenir à jour les listes de diffusion : Les organisations disposant de données de messagerie propres et validées présentent une surface d'attaque réduite pour la reconnaissance. Les attaquants collectent des informations de contact à partir de bases de données compromises ou mal entretenues afin de concevoir des campagnes d'usurpation d'identité ciblées et convaincantes. L'IA au service du marketing par e-mail et la mise à jour des listes vérifiées réduit les données disponibles pour la recherche des attaquants.
  • Mettre en œuvre des contrôles techniques supplémentaires : Les fonctionnalités anti-usurpation d'identité des plateformes de sécurité de messagerie, les services de surveillance de la protection de la marque et les outils de reporting DMARC offrent une visibilité sur les tentatives d'usurpation d'identité visant votre domaine avant qu'elles n'atteignent vos clients et partenaires.

Récapitulation

L'usurpation d'identité par courriel consiste à falsifier les informations de l'expéditeur pour rendre les messages malveillants crédibles, exploitant ainsi le décalage fondamental entre ce qui s'affiche et ce qui se passe techniquement en coulisses. Les attaquants utilisent l'usurpation du nom d'affichage, des domaines similaires et la falsification directe d'adresse pour tromper les destinataires et les inciter à révéler leurs identifiants, à approuver des paiements ou à télécharger des logiciels malveillants.

Aucune mesure ne permet d'éliminer totalement l'usurpation d'identité, mais les organisations et les individus qui combinent des contrôles techniques avec des procédures de sensibilisation et de vérification réduisent considérablement leur risque de réussite des attaques par usurpation d'identité.

Vérifiez si le domaine de votre organisation est configuré avec DMARC et à quel niveau d'application. Si DMARC n'est pas en place ou s'il est configuré sur p=none (surveillance uniquement), le passage à p=quarantine ou p=reject est la mesure la plus efficace pour empêcher les attaquants d'usurper l'identité de votre domaine lors d'attaques visant vos clients et partenaires.

Maintenir des listes d'emails propres et validées fait partie intégrante d'une sécurité de messagerie responsable. DeBounce supprime les adresses invalides, jetables et à risque de votre base de données de contacts, garantissant ainsi la fiabilité de votre infrastructure de messagerie, la préservation de votre réputation d'expéditeur et la protection de vos données contre l'usurpation d'identité.

Commencez dès aujourd'hui à vérifier vos listes. afin de réduire les risques liés à la délivrabilité et à la sécurité de toutes vos communications par courriel.

Questions fréquemment posées

Réponses aux questions fréquentes sur ce sujet.
01

Est-il possible d'empêcher complètement l'usurpation d'adresse électronique ?

Non, l'usurpation d'identité ne peut être totalement éliminée, mais des enregistrements d'authentification DMARC, SPF et DKIM correctement configurés, associés à une formation de sensibilisation des utilisateurs, bloquent la grande majorité des tentatives d'usurpation d'identité avant qu'elles n'atteignent les destinataires.

02

L'usurpation d'adresse électronique est-elle illégale ?

Oui, dans la plupart des juridictions, l'utilisation d'adresses électroniques falsifiées pour commettre une fraude, du phishing ou du harcèlement constitue une violation des lois, notamment de la loi américaine CAN-SPAM, des lois sur la fraude informatique et des législations équivalentes dans d'autres pays, bien que l'application de ces lois soit difficile compte tenu de la nature mondiale des attaques.

03

Les courriels frauduleux peuvent-ils endommager mon appareil ?

Les courriels frauduleux en eux-mêmes ne nuisent pas aux appareils, mais les liens ou pièces jointes malveillants qu'ils contiennent peuvent le faire : cliquer sur des liens menant au téléchargement de logiciels malveillants ou ouvrir des pièces jointes infectées dans des messages frauduleux peut compromettre votre appareil, quel que soit l'expéditeur usurpé.

Vous pourriez aussi aimer

Trouvez rapidement les réponses à vos questions concernant nos tarifs et nos forfaits.

Comment éviter d’entrer dans la boîte à spam ?

Le marketing par e-mail est un domaine difficile, et c'est encore plus frustrant de voir ses e-mails, pourtant magnifiquement rédigés et conçus artistiquement, atterrir directement dans le dossier spam...

   
Ali Ali

Comment définir des enregistrements DMARC (un guide complet)

Vous gérez des campagnes d'emailing professionnelles ou commerciales ? Vous vous demandez comment mettre en place des enregistrements DMARC pour la validation et la sécurité de vos emails ? Le saviez-vous ? Vous…

   
Clément de mousse