Qu'est-ce que le spoofing d'e-mail ? Comment ça marche et comment se protéger (2026)
Le spoofing d'e-mail permet aux attaquants d'envoyer des messages qui semblent provenir de n'importe qui — votre banque, votre directeur ou votre meilleur ami. Voici exactement comment ça fonctionne, les quatre variantes principales et comment les standards d'authentification modernes (SPF, DKIM, DMARC) comblent les failles.
Qu'est-ce que le spoofing d'e-mail ?
Le spoofing d'e-mail désigne la falsification de l'adresse d'expéditeur d'un e-mail pour que le message semble provenir d'une source dont il ne provient pas réellement. Le protocole e-mail sous-jacent — SMTP (Simple Mail Transfer Protocol) — a été conçu dans les années 1970 sans authentification intégrée de l'expéditeur. N'importe quel serveur de messagerie peut indiquer n'importe quelle adresse From:, et par défaut les serveurs destinataires n'ont aucun moyen de vérifier cette affirmation.
Ce n'est pas un bug corrigé depuis longtemps — c'est une propriété fondamentale du protocole sur lequel des milliards d'e-mails s'appuient encore. Bien que des standards d'authentification (SPF, DKIM, DMARC) existent aujourd'hui, leur adoption est inégale. L'Anti-Phishing Working Group (APWG) a rapporté au premier trimestre 2026 que 31 % des attaques de phishing observées utilisaient une forme de falsification de l'identité de l'expéditeur, et le spoofing de nom affiché affectait spécifiquement plus de 3,4 milliards d'e-mails par jour.
De : securite@credit-agricole.fr
Reply-To : support@ca-helpdesk.ru
Objet : Votre compte a été suspendu
Ce que votre client de messagerie affiche — et ce que l'e-mail contient réellement
Les quatre types de spoofing d'e-mail
Spoofing du nom affiché
TrivialL'attaquant définit le nom affiché comme quelque chose de fiable (« Support PayPal » ou « PDG Jean Dupont »), mais utilise une adresse d'envoi complètement étrangère. La vraie adresse n'est souvent visible que si vous cliquez pour développer les détails de l'expéditeur — la plupart des utilisateurs ne le font jamais.
Nom affiché : « Crédit Agricole » — adresse réelle : ca-alerte@domaine-suspect.ru
Spoofing de domaine sosie
FacileL'attaquant enregistre un domaine ressemblant à s'y méprendre à l'original : paypa1.com, amaz0n.fr, rn-credit-agricole.com (rn ressemble à m). Techniquement, l'adresse est réelle ; psychologiquement, elle trompe.
support@0range.fr au lieu de support@orange.fr
Falsification directe des en-têtes
MoyenL'attaquant contrôle son propre serveur de messagerie et définit manuellement le champ En-tête From: sur n'importe quelle adresse — par exemple security@paypal.com. Sans DMARC, le serveur du destinataire accepte le message.
From: securite@creditagricole.fr — envoyé depuis 185.220.xxx.xxx
Attaque Reply-To
FacileL'adresse From: est légitime ou plausible, mais le champ Reply-To: pointe vers une adresse d'attaquant. Lorsque la victime répond, la réponse va directement à l'attaquant.
From: rh@entreprise.fr — Reply-To: rh-urgent@gmail.com
Pourquoi ça fonctionne encore
SMTP a été conçu à une époque où Internet était principalement utilisé par des universités et des organismes gouvernementaux qui se faisaient mutuellement confiance. L'authentification n'était pas un objectif de conception. Le protocole a été standardisé dans le RFC 821 (1982) et ses fondamentaux ont très peu changé depuis — malgré le fait qu'il est aujourd'hui exploité quotidiennement par des milliards d'acteurs malveillants.
Statistique importante : Selon le rapport Verizon DBIR 2025, 74 % de toutes les violations de données impliquaient une forme de tromperie d'identité — dont la majorité par spoofing de nom affiché utilisant des adresses e-mail techniquement valides.
Comment SPF, DKIM et DMARC protègent
Ce que ça fait : Un enregistrement DNS TXT qui répertorie les adresses IP autorisées à envoyer des e-mails pour un domaine.
Limites : Ne vérifie que l'expéditeur de l'enveloppe (MAIL FROM), pas l'en-tête From: visible. Ne fonctionne pas correctement lors du transfert d'e-mails.
Ce que ça fait : Une signature cryptographique ajoutée à l'en-tête de l'e-mail prouvant que le message n'a pas été modifié et provient d'un serveur autorisé.
Limites : Ne protège pas contre le spoofing de nom affiché. Les signatures peuvent être supprimées ou re-signées par des intermédiaires.
Ce que ça fait : Combine SPF et DKIM, exige qu'au moins l'un réussisse et aligne le résultat sur le domaine From: visible. Les propriétaires de domaines peuvent spécifier quoi faire avec les messages défaillants.
Limites : Efficace uniquement si le domaine expéditeur a publié une politique DMARC avec p=quarantine ou p=reject. Beaucoup de domaines utilisent encore p=none (rapport uniquement).
Ce que ça fait : Permet aux organisations d'afficher leur logo vérifié à côté des e-mails authentifiés dans les clients de messagerie supportés (Gmail, Yahoo, Apple Mail).
Limites : Nécessite DMARC au niveau d'application. Relativement nouveau et pas encore universellement supporté.
Ces trois standards forment ensemble une défense solide — mais seulement si tous les trois sont correctement configurés. Un enregistrement DMARC avec p=none n'offre aucune protection ; il génère uniquement des rapports. Pour une vraie protection, p=quarantine ou p=reject est nécessaire.
Signes d'alerte d'un e-mail falsifié
Même lorsque les standards d'authentification sont en place, certaines attaques de spoofing peuvent passer. Surveillez ces signaux d'alarme :
- ⚠Le nom affiché correspond à une entreprise connue mais l'adresse e-mail réelle ne correspond pas à leur domaine
- ⚠L'e-mail vous demande de répondre — et l'adresse Reply-To est différente de l'adresse From
- ⚠Une adresse connue diffère d'un caractère : paypa1.com, amaz0n.fr, cr3dit-agricole.com
- ⚠Demandes urgentes de paiement, de cartes cadeaux ou d'identifiants de connexion, notamment avec des instructions d'agir immédiatement
- ⚠Un e-mail inattendu d'un supérieur ou d'une banque demandant de garder la communication confidentielle
- ⚠Le domaine de l'e-mail est légitime mais le contenu ne correspond pas à la communication habituelle de cet expéditeur
- ⚠Les en-têtes d'e-mail (visibles via « Afficher l'original » dans Gmail) montrent que l'e-mail provient d'un serveur sans rapport avec le domaine indiqué
Comment vérifier un e-mail suspect dans Gmail
Gmail facilite la vérification des en-têtes d'e-mail. Ouvrez l'e-mail suspect, cliquez sur les trois points en haut à droite et sélectionnez « Afficher l'original ». Recherchez ensuite :
Authentication-Results
Recherchez spf=pass, dkim=pass et dmarc=pass. Un ou plusieurs résultats fail est un signal d'alarme fort.
En-têtes Received
Montrent les serveurs de messagerie par lesquels le message est passé. Si le premier serveur n'a rien à voir avec le domaine indiqué, l'e-mail a probablement été falsifié.
Reply-To
Le champ Reply-To: diffère-t-il de l'en-tête From: ? C'est l'un des patterns de spoofing les plus anciens et les plus courants — l'e-mail vient d'une adresse sérieuse, mais les réponses vont à l'attaquant.
Comment Gorganizer détecte les tentatives de spoofing
Gorganizer analyse votre boîte Gmail avec plus de 1 000 signaux de détection — dont plusieurs modules développés spécifiquement pour le spoofing et le phishing :
reply-to-differs-from-from-domain
Détecte quand Reply-To et le domaine From ne correspondent pas — le pattern de spoofing le plus courant.
unicode-homoglyph-visible-url
Détecte les domaines sosies avec des caractères Unicode visuellement similaires (rn au lieu de m, ó au lieu de o).
bank-secure-message-portal-phish
Détecte les faux e-mails « Nouveau message sécurisé de votre banque » ne provenant pas de vrais domaines bancaires.
cta-button-href-domain-mismatch
Détecte quand le texte du lien visible et le domaine URL réel ne correspondent pas.
Questions fréquentes
Qu'est-ce que le spoofing d'e-mail ?›
Le spoofing d'e-mail consiste à falsifier l'adresse d'expéditeur d'un e-mail pour que le message semble provenir d'une personne ou organisation de confiance dont il ne provient pas réellement. Le champ « De : » visible dans votre client de messagerie peut être défini librement — le protocole e-mail sous-jacent (SMTP) ne dispose d'aucune authentification intégrée par défaut.
Le spoofing d'e-mail est-il illégal ?›
Oui, dans la plupart des pays. En France et dans l'UE, le spoofing d'e-mail utilisé pour tromper ou frauder est punissable sous diverses législations sur la cybercriminalité et l'escroquerie. Aux États-Unis, le CAN-SPAM Act interdit les en-têtes et informations d'expéditeur trompeurs.
Les e-mails falsifiés peuvent-ils contourner les filtres anti-spam ?›
Certains le peuvent, surtout si le domaine d'envoi dispose d'enregistrements SPF/DKIM valides ou si l'attaquant falsifie uniquement le nom affiché. Le spoofing de nom affiché — où le nom indique « Support PayPal » mais l'adresse est support@domaine-quelconque.com — est extrêmement courant et contourne souvent les filtres automatisés.
Quelle est la différence entre spoofing et phishing ?›
Le spoofing désigne spécifiquement la falsification de l'identité de l'expéditeur. Le phishing est l'attaque plus large — il utilise le spoofing (entre autres techniques) pour inciter le destinataire à cliquer sur un lien, saisir des identifiants ou effectuer une action nuisible. Toutes les attaques de phishing utilisent une forme de tromperie d'identité, mais tous les spoofinigs ne sont pas du phishing.
Comment SPF, DKIM et DMARC protègent-ils contre le spoofing ?›
SPF (Sender Policy Framework) permet à un domaine de publier quels serveurs de messagerie sont autorisés à envoyer en son nom. DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique à chaque e-mail prouvant qu'il n'a pas été modifié et provient du domaine indiqué. DMARC (Domain-based Message Authentication, Reporting and Conformance) combine SPF et DKIM et permet aux propriétaires de domaines de spécifier quoi faire avec les messages défaillants (mise en quarantaine ou rejet). Ensemble, ils constituent la défense technique principale contre le spoofing.
Analyser votre boîte mail pour du phishing
Gorganizer analyse votre boîte Gmail avec 1 000+ signaux et identifie les tentatives de spoofing, les e-mails de phishing et autres menaces — automatiquement, en un clic.
Analyser ma boîte maintenant →