comment vérifier si un mail est frauduleux

Les emails frauduleux sont aujourd’hui l’un des moyens les plus utilisés par les cybercriminels pour piéger leurs victimes.
Derrière un message bien formulé peut se cacher une tentative de vol d’identifiants, d’injection de malware ou une arnaque visant à vous faire transférer de l’argent.

Ces attaques ne visent pas que les professionnels ou les “gros comptes” : tout le monde peut être ciblé, à partir d’une simple adresse email.

Dans cet article, vous allez apprendre à :

• repérer les signes qui doivent vous alerter (adresse douteuse, lien suspect, pièce jointe piégée, etc.),
• vérifier techniquement un email (affichage complet, en-têtes, liens masqués),
• et surtout quoi faire en cas de doute, sans tomber dans le piège.

Ces bonnes pratiques s’appliquent aussi bien dans un cadre personnel que professionnel, et permettent de réduire considérablement les risques d’attaque.

Les signes qui doivent vous alerter

Tous les emails frauduleux ne sont pas évidents à repérer. Certains sont grossiers, d’autres très bien construits et capables de tromper même des utilisateurs expérimentés.
Voici les principaux éléments à vérifier pour détecter un email potentiellement dangereux :

Une adresse d’expéditeur suspecte ou usurpée

L’un des premiers éléments à vérifier est l’adresse email réelle de l’expéditeur — pas uniquement le nom affiché. Il est facile d’écrire “Amazon Service” ou “Support Impôts” dans l’en-tête d’un mail, mais l’adresse qui se cache derrière en dit souvent long.

Les cybercriminels utilisent souvent des adresses qui ressemblent fortement à des adresses officielles, en jouant sur des variantes :

• utilisation d’un nom de domaine proche : @service-amazon.com, @orange-client.fr
• ajout ou suppression de lettres, tirets ou sous-domaines : @gouvfr.com, @amendes-info.fr, @xxx-gouv.fr

Cette technique s’appelle le typosquatting : elle consiste à enregistrer des noms de domaines qui imitent de vrais domaines (officiels ou connus) pour tromper les victimes.

Exemple réel : des campagnes de phishing ou de SMS frauduleux prétendant provenir de l’ANTAI (Agence nationale de traitement automatisé des infractions) ont utilisé des domaines comme paiement-amendes-gouvfr.com ou antai-securite.info.
À lire : Arnaque au retard d’amende non payé (phishing)

Visuellement, cela peut passer inaperçu, surtout sur mobile où l’adresse email complète est souvent cachée.
]Il ne faut JAMAIS se fier à l’adresse de l’expéditeur.
Pour plus de détails, lire : Mail et Phishing : Pourquoi il faut se méfier de l’adresse de l’expéditeur

Pour en savoir plus sur cette méthode de tromperie : Typosquatting : quand les pirates imitent les vrais sites

Un objet ou un contenu trop vague, alarmant ou tentant

Un email frauduleux utilise souvent un ton urgent ou menaçant : “Votre compte sera suspendu”, “Dernier avis avant suppression”, ou “Vous avez gagné un iPhone”.
Parfois, le message reste vague, impersonnel ou vous pousse à cliquer sans explication. Le but est simple : vous faire réagir vite, sans réfléchir.

Vérifier les liens reçus

Avant de cliquer sur un lien, prenez le temps de survoler l’adresse (sans cliquer). Lien affiché et destination réelle peuvent ne pas correspondre. Il arrive aussi que des URL soient raccourcies (bit.ly, tinyurl) ou hébergées sur des domaines obscurs. Si l’adresse semble incohérente ou inconnue, évitez d’y accéder.

Pièces jointes inattendues

Les pièces jointes sont l’un des moyens les plus courants pour diffuser des malwares. Les fichiers dangereux les plus utilisés sont les .exe, .js, .vbs, .scr, ou encore certains documents Office piégés comme les .docm (Word avec macro active).

Mais pour éviter d’être détectés par les antivirus ou éveiller les soupçons, ces fichiers malveillants sont souvent dissimulés dans une archive compressée de type .zip ou .rar.
L’internaute pense ouvrir une pièce jointe banale, mais c’est à l’intérieur que se cache le vrai danger.

L’astuce de la double extension :

Une autre méthode courante consiste à utiliser une double extension. Par exemple, un fichier malveillant peut être nommé facture.pdf.exe ou photo.jpg.scr.
Sur Windows, si les extensions sont masquées (ce qui est le cas par défaut), l’utilisateur ne verra que “facture.pdf” — et pensera à tort qu’il s’agit d’un document.

Voici un exemple où un fichier ZIP de facture, semble être un fichier PDF, mais regardez la colonne Type.

L’attaquant a même pris le soin d’ajouter des espaces pour véritablement cacher l’extension si la colonne est trop petite.

Ainsi, en réalité, c’est un exécutable déguisé. À lire : Extensions de fichiers masquées sur Windows et les problèmes de sécurité

Si vous n’attendez pas de pièce jointe, même venant d’un contact connu, ne l’ouvrez jamais sans vérification préalable. Et surtout :

• n’activez pas les macros dans un document Office,
• passez toujours le fichier dans un outil comme VirusTotal.

Analyser le style du message

Enfin, le style d’écriture peut trahir l’arnaque. Un texte truffé de fautes, des tournures maladroites, des logos pixelisés ou une signature inhabituelle sont autant d’indices.
Les messages sont parfois mal traduits ou générés automatiquement, ce qui les rend faciles à repérer avec un peu d’attention.

Vérifier techniquement un email

Lorsque le contenu d’un email vous semble suspect, il est utile d’aller plus loin que la simple lecture. Quelques vérifications techniques simples permettent de mieux comprendre si un message est frauduleux, sans nécessiter de compétences avancées.

Afficher l’adresse complète de l’expéditeur

Dans de nombreux clients email, seul le nom de l’expéditeur est visible par défaut. Il est important d’afficher l’adresse réelle pour vérifier qu’elle correspond bien à l’entreprise ou au contact supposé.
Par exemple, un message affiché comme « Amazon Support » peut en réalité venir de noreply@amazon-help-account.ru.

Sur Outlook, Gmail, Thunderbird ou sur smartphone, il est généralement possible d’appuyer ou de cliquer sur le nom pour voir l’adresse complète.

Survoler les liens sans cliquer

Un lien peut sembler légitime, mais rediriger vers un site piégé.
Avant de cliquer, survolez le lien avec votre souris : l’adresse réelle s’affiche en bas du navigateur ou du client mail. Si elle vous paraît étrange, avec des fautes, des sous-domaines farfelus ou un nom de domaine inconnu, ne cliquez pas.

Examiner l’en-tête de l’email (header)

Chaque email contient des informations techniques appelées en-têtes (headers), qui permettent de retracer son parcours depuis l’expéditeur jusqu’à votre boîte mail.
On y trouve notamment :

• l’adresse IP d’envoi,
• les serveurs utilisés pour la transmission,
• et des indicateurs de sécurité comme SPF, DKIM et DMARC, qui permettent de vérifier si l’expéditeur est bien autorisé à envoyer des mails depuis ce domaine.

Ces technologies ne sont pas toujours visibles à l’utilisateur final, mais les clients mail avancés ou certains outils d’analyse permettent de les inspecter. Voici ce qu’elles signifient :

• SPF (Sender Policy Framework) : vérifie si l’IP d’envoi est autorisée à envoyer des mails au nom du domaine utilisé.
• DKIM (DomainKeys Identified Mail) : ajoute une signature cryptographique pour authentifier le contenu du message.
• DMARC (Domain-based Message Authentication, Reporting and Conformance) : définit comment réagir (accepter, mettre en spam, rejeter) si SPF ou DKIM échoue.

Si l’un ou plusieurs de ces mécanismes échouent, cela peut indiquer un spoofing ou une tentative d’usurpation de domaine.

En général, le Webmail ou le client mail propose une option « Afficher l’original » ou « Afficher l’en-tête« .
Par exemple, lorsque dmarc échoue, on obtient la mention « dmarc=fail« .

Authentication-Results: mail.protonmail.ch; dmarc=fail (p=none dis=none) header.from=malekal.com
Authentication-Results: mail.protonmail.ch; spf=none smtp.helo=[10.88.0.3]
Authentication-Results: mail.protonmail.ch; arc=none smtp.remote-ip=35.233.21.33
Authentication-Results: mail.protonmail.ch; dkim=none

Notez que certains webmail peuvent faire l’effort d’afficher cette information.
Par exemple, ci-dessous, ce mail d’arnaque tente d’envoyer un mail d’erreur et de notice se faisant passer pour @malekal.com (spoofing).
Protonmail indique que l’adresse email de l’expéditeur ne répond pas aux exigences d’authentification du domaine.

L’analyse complète des headers demande un certain niveau technique. Elle est donc plutôt réservée aux utilisateurs avancés, aux administrateurs ou aux analystes en sécurité.
Mais, des outils en ligne peuvent vous aider à les décrypter facilement, comme :

• MXToolbox Email Header Analyzer
• Google Admin Toolbox – Messageheader

Vérifier les liens sans cliquer

Si vous avez un doute sur un fichier ou un lien, vous pouvez le tester sans risque sur un site spécialisé comme VirusTotal.
Ce service analyse le contenu avec plusieurs antivirus simultanément, sans l’ouvrir sur votre machine. Vous pouvez y uploader une pièce jointe ou coller un lien suspect pour voir s’il est reconnu comme dangereux.

Pour vous aider :

• Comment analyser un fichier téléchargé : virus ou sain ?
• Comment vérifier un lien internet : malveillant ou sain ?

Que faire si vous avez un doute ?

Recevoir un email suspect n’est pas rare. Mais ce n’est pas parce qu’un message semble étrange qu’il faut paniquer — ni cliquer pour en avoir le cœur net. Voici les bons réflexes à adopter dès que vous avez le moindre doute.

• Ne cliquez ni sur les liens, ni sur les pièces jointes. Même un simple clic sur un lien peut suffire à vous rediriger vers un site piégé ou lancer un téléchargement automatique.
• Évitez de répondre, même pour dire “je ne suis pas intéressé” ou “est-ce une arnaque ?”. Cela confirme au pirate que votre adresse est active, et peut vous exposer à d’autres attaques.
• Prenez une minute pour relire l’email à froid. Est-ce qu’il contient des fautes ? Une adresse étrange ? Est-ce que le ton est anormalement urgent ? Est-ce une demande logique dans le contexte (par exemple, une facture d’un service que vous n’utilisez pas) ?
• Vérifiez par un autre canal : Si l’email semble provenir d’une personne ou d’un service que vous connaissez, contactez-les directement par un autre moyen (téléphone, SMS, site officiel, etc.) pour confirmer qu’ils vous ont bien envoyé ce message.

Signalez le message. Si vous avez identifié un email frauduleux, vous pouvez :

• le signaler comme spam/phishing dans votre boîte mail,
• le transférer à Signal Spam (signal-spam.fr),
• ou à phishing@cybermalveillance.gouv.fr

Enfin, une fois le doute levé, supprimez le message de votre boîte. Vous pouvez aussi vider la corbeille pour éviter de le rouvrir accidentellement plus tard.

Un email douteux ne doit jamais être traité dans la précipitation. Le meilleur réflexe est souvent d’attendre, de prendre du recul, ou de demander un second avis.

Tableau – Les 5 vérifications à faire sur un email suspect

Vérification	Ce qu’il faut observer	À éviter / À faire
Adresse de l’expéditeur	Est-ce un domaine légitime ? (@gouv.fr, @edf.fr)	Méfiez-vous des adresses ressemblantes : @orange-client.fr
Ton du message	Urgence, menace, récompense, relance agressive	Ne vous laissez pas presser. Prenez le temps de réfléchir.
Liens dans le message	Lien visible = lien réel ? Survolez pour vérifier	Ne cliquez pas si l’adresse est étrange ou raccourcie (bit.ly, etc.)
Pièces jointes	Fichier inattendu, extension inhabituelle (.exe, .js, .docm, .zip)	Ne l’ouvrez pas sans vérification via VirusTotal
Orthographe et mise en forme	Fautes, traduction automatique, logo flou, format étrange	Un message mal écrit est un bon signal d’alerte

Un seul de ces signes peut suffire à éveiller un doute. Plusieurs combinés, c’est presque sûr : il s’agit d’un email frauduleux.
Si vous avez un doute : ne cliquez pas, ne répondez pas, et faites vérifier le message sur un outil comme VirusTotal.

Comment protéger son PC des virus par E-mail

Pour aller plus loin, voici un guide pour vous protéger concrètement contre ce type de menaces informatiques.
Vous y découvrirez :

• les méthodes utilisées pour piéger les internautes par email,
• les techniques de dissimulation des virus (ZIP, .js, macros…),
• et les bons réflexes à adopter pour ne pas tomber dans le piège.

Comment protéger son PC des virus par E-mail

Ressources utiles et articles liés

• Comment analyser un fichier téléchargé : virus ou sain ?
• Comment vérifier un lien internet : malveillant ou sain ?
• Savoir si on a un virus sur son PC : 9 signes d’une infection par un malware
• Comment vérifier si mon ordinateur a été hacké ou piraté ?

Comment protéger son PC des virus et pirates ?

• Sécuriser son PC en Windows 11 ou Windows 10 : 18 astuces
• La sécurité de son PC, c’est quoi ?
• Comment protéger son PC des hackers ou pirates
• Comment sécuriser son routeur contre les piratages
• 11 conseils pour sécuriser son réseau domestique
• Windows 11 et 10 : Évolutions des protections de sécurité intégrées contre les virus et malwares
• Comment bloquer les sites web malveillants et dangereux sur Internet
• L’antivirus Windows Defender : le dossier complet
• Windows Defender est-il efficace?
• Comment protéger et sécuriser ses comptes internet
• Les virus informatiques : fonctionnement et protections
• Bloquer les sites dangereux avec un antivirus : le rôle de la protection web

L’article comment vérifier si un mail est frauduleux est apparu en premier sur malekal.com.