1 Introduction
Quand vous recevez une lettre par la poste, vous regardez l'enveloppe : le timbre, l'adresse de l'expéditeur, le cachet postal. Ces éléments vous permettent de juger si le courrier est authentique. Les emails fonctionnent de la même façon : derrière chaque message se cachent des en-têtes (headers) qui racontent le vrai parcours de l'email.
Le problème, c'est que l'adresse visible dans le champ "De:" d'un email est aussi facile à falsifier que l'adresse de l'expéditeur sur une enveloppe. N'importe qui peut écrire n'importe quelle adresse. C'est pourquoi il est crucial de savoir lire les en-têtes pour vérifier l'authenticité d'un email.
Pourquoi c'est important
L'email reste le vecteur d'attaque numéro un en cybersécurité. Que ce soit du phishing, de l'arnaque au président ou de la distribution de malwares, tout commence souvent par un email. Savoir distinguer un email légitime d'un email falsifié est une compétence essentielle de la vie numérique.
2 Comment ça marche
Collez les en-têtes d'un email suspect dans l'analyseur ci-dessous pour les décoder automatiquement :
Les en-têtes clés d'un email
Chaque email transporte des dizaines d'en-têtes invisibles. Voici les plus importants pour détecter une fraude :
Expéditeur affiché
C'est ce que vous voyez dans votre boîte mail. Facilement falsifiable, comme l'adresse sur une enveloppe.
Adresse de réponse
L'adresse où votre réponse sera envoyée. Si elle diffère du "From", c'est un signal d'alerte majeur.
Chaîne de transmission
Chaque serveur qui a relayé l'email ajoute un en-tête "Received". C'est le trajet réel du message, comme les cachets postaux sur un colis.
Adresse de retour technique
L'adresse technique utilisée pour les notifications de non-livraison. Si elle ne correspond pas au domaine de l'expéditeur, c'est suspect.
Comment accéder aux en-têtes ?
Gmail
Ouvrez l'email, cliquez sur les 3 points en haut à droite, puis "Afficher l'original".
Outlook
Ouvrez l'email, Fichier puis Propriétés. Les en-têtes sont dans "En-têtes Internet".
Thunderbird
Ouvrez l'email, menu Affichage puis "Code source du message" (Ctrl+U).
3 Analyse détaillée
SPF, DKIM et DMARC : les gardiens de l'email
Ces trois mécanismes fonctionnent ensemble pour vérifier qu'un email est bien envoyé par qui il prétend être. Pensez-y comme à trois niveaux de contrôle d'identité :
SPF (Sender Policy Framework)
Analogie : C'est comme une liste de facteurs autorisés à livrer pour une entreprise.
Le domaine publie une liste des serveurs autorisés à envoyer des emails en son nom. Si l'email vient d'un serveur qui n'est pas dans la liste, SPF signale un échec. Vérifiez le résultat spf=pass ou spf=fail dans les en-têtes.
DKIM (DomainKeys Identified Mail)
Analogie : C'est comme un sceau de cire sur une lettre médiévale. Il prouve que le contenu n'a pas été modifié.
Le serveur d'envoi signe numériquement le message. Le serveur de réception vérifie la signature. Si le message a été modifié en transit, la signature ne correspondra plus. Cherchez dkim=pass dans les en-têtes.
DMARC (Domain-based Message Authentication)
Analogie : C'est le chef de sécurité qui décide quoi faire quand SPF ou DKIM échouent.
DMARC définit la politique : faut-il rejeter, mettre en quarantaine ou accepter un email qui échoue aux vérifications ? Un domaine avec p=reject est bien protégé. Un domaine avec p=none ne bloque rien, même les faux emails.
Lire la chaîne "Received"
Les en-têtes "Received" se lisent de bas en haut. Le premier en-tête "Received" (tout en bas) montre le serveur d'origine, et le dernier (tout en haut) est votre propre serveur de réception.
// 3. Votre serveur (dernier relais)
Received: from mail-relay.example.com by votre-serveur.fr
// 2. Serveur intermédiaire
Received: from smtp-out.expediteur.com by mail-relay.example.com
// 1. Serveur d'origine (lire en premier)
Received: from serveur-origine.com [45.67.89.12]
Si le serveur d'origine ne correspond pas au domaine de l'expéditeur, l'email est probablement usurpé.
Essayez sur mlab.sh
Collez les en-tetes d'un email suspect et l'outil les decode automatiquement : verification SPF, DKIM, DMARC, analyse de la chaine Received et detection des anomalies d'authentification.
Parser les en-têtes sur mlab.sh4 Red Flags
Voici les signaux d'alerte quand vous analysez un email :
Reply-To différent du From
L'email semble venir de votre banque mais les réponses iront vers une adresse Gmail inconnue. C'est un signe classique de spoofing.
SPF ou DKIM en échec
Un résultat spf=fail ou dkim=fail signifie que le serveur d'envoi n'est pas autorisé à envoyer pour ce domaine.
Nom affiché trompeur
Le nom affiché dit "Service Client BNP" mais l'adresse réelle est [email protected]. Vérifiez toujours l'adresse complète, pas seulement le nom.
Pièce jointe inattendue
Des fichiers .zip, .exe, .js, .doc avec macros ou .pdf d'un expéditeur inconnu sont potentiellement des malwares. N'ouvrez jamais une pièce jointe suspecte.
Fautes d'orthographe inhabituelles
Les emails officiels sont généralement bien rédigés. Des fautes grossières, une syntaxe étrange ou un mélange de langues sont des indices de fraude.
Demande d'informations sensibles
Aucune entreprise sérieuse ne vous demandera votre mot de passe, numéro de carte bancaire ou code de sécurité par email. Jamais.
Modules connexes
Reconnaître un lien de phishing
Les techniques pour détecter les URLs frauduleuses qui imitent des sites légitimes.
Les techniques de spoofing
Usurpation d'identité numérique : email spoofing, caller ID spoofing et domain spoofing.
C'est quoi un IOC ?
Les indices d'une cyberattaque : apprendre à reconnaître les indicateurs de compromission.
Source : mlab Academy — Plateforme de sensibilisation à la cybersécurité
URL : https://academy.mlab.sh/fr-FR/page/email-suspect
Module : Analyser un email suspect — Phishing & Ingénierie sociale
Avertissement : Ce contenu est à des fins de sensibilisation uniquement.