Usurpation de domaine : comment des hackers envoient des emails à votre place

Comment l'usurpation d'email fonctionne techniquement

Le protocole SMTP (Simple Mail Transfer Protocol) qui gouverne l'envoi d'emails a été créé en 1982. À cette époque, internet était un réseau académique fermé et la confiance était implicite. Le résultat : SMTP ne vérifie pas l'identité de l'expéditeur.

Concrètement, envoyer un email avec n'importe quelle adresse en expéditeur est aussi simple que d'écrire une lettre papier avec le nom et l'adresse de quelqu'un d'autre dans le champ "De". Le facteur (ici, le serveur email destinataire) ne vérifie pas que l'expéditeur est vraiment celui qu'il prétend être.

# Ce qu'un attaquant peut envoyer depuis n'importe quel serveur :
From: contact@votre-entreprise.fr
To: client@destination.fr
Subject: Facture urgente à régler

# L'email arrive dans la boîte du client avec votre nom et logo.
# Votre serveur email n'a RIEN été piraté.

Sans SPF, DKIM et DMARC configurés sur votre domaine, le serveur de messagerie du destinataire n'a aucun moyen de distinguer un email légitime d'un email usurpé.

Les différents types de spoofing

1. Le spoofing exact (Direct Domain Spoofing)

L'attaquant utilise exactement votre adresse email (contact@votre-domaine.fr) dans le champ From:. C'est le plus simple à détecter et à bloquer avec DMARC.

2. Le lookalike domain

L'attaquant enregistre un domaine qui ressemble au vôtre et l'utilise pour envoyer des emails :

Domaine légitime	Domaine usurpé (exemples)
`votre-entreprise.fr`	`votre-entreprise.com`, `votre-enteprise.fr`, `vоtre-entreprise.fr` (caractère cyrillique)
`dupont-conseil.fr`	`dupont-conseils.fr`, `dupontconseil.fr`, `dupont-consei1.fr`

Ce type d'attaque ne peut pas être bloqué par votre DMARC (qui ne protège que votre domaine exact), mais il peut être surveillé via des services de monitoring de domaines.

3. Le display name spoofing

L'attaquant utilise un domaine différent mais affiche votre nom dans le champ "De" :

Ce que l'utilisateur voit :   Marie Dupont <contact@votre-entreprise.fr>
Ce que l'email contient :    Marie Dupont <m.dupont@gmail-secure-mail.com>

Les clients de messagerie affichent souvent uniquement le nom, pas l'adresse complète, ce qui rend cette attaque particulièrement efficace sur mobile.

Qui est ciblé et pourquoi

Contrairement aux idées reçues, les PME sont plus souvent ciblées que les grandes entreprises. Pour deux raisons :

Moins bien protégées : les grands groupes ont des équipes sécurité et des configurations DMARC en p=reject. Les PME ont rarement DMARC configuré.
Relations de confiance exploitables : une PME a des relations privilégiées avec ses fournisseurs, ses banques, ses clients. Ces relations sont des vecteurs d'attaque.

Les scénarios les plus courants en France :

Fraude au fournisseur : un email soi-disant de votre fournisseur vous informe d'un changement de RIB. Vous virez sur le nouveau compte — qui appartient à l'attaquant.
Fraude au président : un email soi-disant du dirigeant demande un virement urgent et confidentiel à la comptabilité.
Phishing client : vos clients reçoivent de fausses factures ou demandes de paiement en votre nom.

WARN

Chiffres 2025 : selon Cybermalveillance.gouv.fr, la fraude au virement représente plus de 2 milliards d'euros de pertes annuelles pour les entreprises françaises. 80% de ces fraudes commencent par de l'usurpation d'identité par email.

Comment savoir si votre domaine est usurpé

Le problème avec l'usurpation : vous ne le saurez souvent qu'après que le mal est fait — quand un client vous appelle en vous demandant pourquoi vous lui avez réclamé un paiement urgent à une IBAN inconnue.

Pour détecter proactivement :

1. Activer DMARC avec des rapports

Un enregistrement DMARC avec rua=mailto:dmarc@votre-domaine.fr vous envoie quotidiennement des rapports listant tous les emails envoyés depuis votre domaine — légitimes ou frauduleux. C'est votre système d'alerte précoce.

2. Surveiller avec le scanner Wezea

Le scanner analyse votre domaine et détecte immédiatement l'absence ou la faiblesse de votre configuration anti-spoofing. Un monitoring régulier (hebdomadaire ou mensuel) vous alertera si votre configuration se dégrade.

3. Surveiller les domaines similaires

Des services comme DNSTwist ou Typosquatting Finder génèrent automatiquement les variantes de votre domaine et vérifient lesquelles sont enregistrées.

Votre domaine peut-il être usurpé en ce moment ?

Vérifiez votre configuration anti-spoofing en 60 secondes : présence de SPF, DKIM et DMARC, politique appliquée, niveau de protection réel.

→ Vérifier mon domaine gratuitement

Sans compte · Résultats immédiats · Recommandations concrètes

Les trois couches de protection

Couche 1 : SPF — déclarer vos serveurs légitimes

SPF liste les serveurs autorisés à envoyer pour votre domaine. Un serveur non listé échoue la vérification SPF. Configurez SPF avec -all (rejet strict) une fois que vous avez listé tous vos services d'envoi.

Couche 2 : DKIM — signer cryptographiquement vos emails

DKIM ajoute une signature numérique à chaque email. Cette signature ne peut pas être falsifiée sans accès à votre clé privée. Même si un attaquant usurpe votre domaine, la signature DKIM sera absente ou invalide.

Couche 3 : DMARC — forcer le rejet des imposteurs

DMARC orchestre SPF et DKIM et indique quoi faire en cas d'échec. La progression recommandée :

# Étape 1 — Surveillance (sans impact sur la délivrabilité)
_dmarc.votre-domaine.fr  TXT  "v=DMARC1; p=none; rua=mailto:dmarc@votre-domaine.fr"

# Étape 2 — Mise en quarantaine (emails suspects → spam)
_dmarc.votre-domaine.fr  TXT  "v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc@votre-domaine.fr"

# Étape 3 — Rejet strict (protection maximale)
_dmarc.votre-domaine.fr  TXT  "v=DMARC1; p=reject; rua=mailto:dmarc@votre-domaine.fr"

N'allez pas directement à p=reject sans avoir analysé les rapports. Vous risqueriez de bloquer vos propres emails si un service légitime n'est pas encore configuré.

Protection complémentaire : surveiller les lookalikes

DMARC ne protège pas contre les domaines similaires enregistrés par des attaquants. Pour ça :

Enregistrez vous-même les extensions principales de votre domaine (.com, .net, .eu) si elles sont libres
Activez des alertes de monitoring de domaines similaires
Sensibilisez vos équipes et vos clients : une demande de changement de RIB par email doit toujours être confirmée par téléphone

Si vous êtes déjà victime d'usurpation

Si vous découvrez que votre domaine est usurpé :

Activez DMARC immédiatement avec p=quarantine ou p=reject pour limiter les dégâts en cours
Prévenez vos contacts par un autre canal (téléphone, autre adresse email) que des emails frauduleux circulent
Signalez à signal-spam.fr et aux autorités (cybermalveillance.gouv.fr, dépôt de plainte)
Vérifiez vos propres systèmes — l'usurpation externe peut parfois indiquer un accès non autorisé à votre infrastructure
Contactez votre banque si des demandes de virement sont suspectées

Résumé : votre checklist anti-usurpation

SPF configuré avec -all et tous vos services listés
DKIM activé pour chaque service d'envoi email
DMARC en p=reject avec adresse de rapport active
Rapports DMARC lus régulièrement
Extensions principales de votre domaine enregistrées
Procédure interne : toute demande de virement par email doit être confirmée par téléphone

Protégez votre domaine maintenant

Le scanner Wezea analyse votre configuration anti-spoofing et vous donne un rapport clair avec les actions prioritaires. 60 secondes, gratuit, sans installation.

→ Analyser mon domaine

Gratuit · Sans inscription · Rapport PDF exportable