Quelqu'un envoie des courriels avec mon adresse : que faire

Un client vous appelle : il a reçu une « facture » de votre entreprise… que vous n'avez jamais envoyée. Ce n'est probablement pas un piratage de votre boîte — c'est de l'usurpation de domaine, et ça se bloque.

En résumé : si votre domaine n'a pas de politique DMARC en mode blocage, n'importe qui sur Internet peut envoyer des courriels affichant votre adresse — sans jamais toucher à vos comptes. Vérifiez gratuitement en 15 secondes si votre domaine est vulnérable, puis suivez les 3 étapes ci-dessous pour fermer la porte.

D'abord : piratage ou usurpation ?

Deux situations très différentes :

  1. Usurpation (le cas le plus fréquent) — le fraudeur n'a accès à rien chez vous. Il fabrique des courriels qui affichent votre adresse, comme on écrit un faux nom d'expéditeur au dos d'une enveloppe. Vos comptes ne sont pas compromis ; c'est votre domaine qui n'est pas protégé.
  2. Compte piraté — les faux courriels partent réellement de votre boîte (on les voit dans vos éléments envoyés). Là : changez le mot de passe immédiatement, activez la double authentification, vérifiez les règles de transfert automatique.

Indice rapide : si les faux courriels ne sont pas dans vos éléments envoyés, c'est presque certainement de l'usurpation.

Pourquoi c'est possible

Le protocole du courriel, conçu dans les années 80, ne vérifie pas l'expéditeur par défaut. Trois protections modernes comblent ce trou : SPF (la liste des serveurs autorisés à envoyer pour vous), DKIM (une signature numérique) et surtout DMARC — la consigne donnée aux fournisseurs : « si un courriel prétend venir de moi mais échoue aux vérifications, rejetez-le ». Sans DMARC en mode blocage, les faux courriels passent.

« J'ai déjà un SPF — je suis protégé, non ? »

Non, et c'est le malentendu le plus répandu. Un courriel a en réalité deux expéditeurs : l'adresse d'enveloppe (invisible, utilisée par les serveurs — comme l'adresse de retour au dos d'une enveloppe postale) et l'adresse affichée — le « De : » que votre client lit. Le SPF ne vérifie que l'enveloppe. Un fraudeur envoie donc son message avec une enveloppe à son propre domaine (qui passe le SPF sans problème) tout en affichant votre adresse dans le champ De. C'est DMARC qui ferme cette porte, en exigeant que le domaine vérifié corresponde au domaine affiché — et en donnant la consigne de rejeter sinon. Le SPF est nécessaire, mais seul, il n'empêche pas qu'on affiche votre nom.

Les 3 étapes pour y mettre fin

  1. Mesurez votre exposition — le bilan gratuit vous dit en 15 secondes si votre domaine peut être usurpé (verdict « risque d'usurpation » en tête de rapport).
  2. Posez les protections — le plan d'action gratuit vous donne les enregistrements DNS exacts pour votre situation, à copier-coller ou à transmettre à votre webmaster. Commencez par DMARC en mode « surveillance » (p=none), puis montez vers « quarantine » et « reject ».
  3. Surveillez qui envoie en votre nom — les rapports DMARC révèlent chaque serveur qui envoie (ou tente d'envoyer) pour votre domaine. Nos guides et notre analyse automatique les traduisent en français clair : vos vrais outils d'un côté, les usurpateurs de l'autre.

Que dire à vos clients en attendant

Prévenez-les sans délai (un court courriel ou un mot sur votre site) : « des courriels frauduleux circulent en notre nom ; nous ne demandons jamais de paiement vers un nouveau compte sans confirmation téléphonique ». C'est aussi une bonne pratique au sens de la Loi 25, qui vous demande de prévenir les incidents de ce genre.

Est-ce que ça peut m'arriver même si « on est trop petits » ?

C'est précisément les PME que les fraudeurs visent : les grandes entreprises ont déjà DMARC en « reject », pas les petites. Fabriquer 500 fausses factures à votre nom coûte quelques dollars ; y répondre coûte votre réputation. Fermer la porte prend moins d'une heure — commencez par le test.

Vérifiez votre configuration gratuitement

Entrez votre domaine : on teste vos SPF, DKIM, DMARC et votre site, et on vous donne le plan d'action exact.

Faire le bilan gratuit
À lire aussi : le guide SPF, DKIM, DMARC, Microsoft 365, Google Workspace, sécuriser son site web.