Apprenez à vérifier l'authenticité d'un email suspect en 5 minutes : analyse des headers, outils gratuits SPF/DKIM, signalement phishing. Guide pratique VériSources.
Un email qui vous demande de "confirmer votre compte bancaire", de "récupérer un colis bloqué" ou d'"éviter la suspension de votre abonnement" : vous savez que quelque chose cloche, mais vous n'êtes pas sûr. Vérifier l'authenticité d'un email suspect est une compétence essentielle en 2024. Ce guide vous donne les méthodes concrètes pour analyser un email douteux en moins de 5 minutes, sans être expert technique. En France, le phishing représente 73 % des cyberattaques signalées aux particuliers selon le rapport annuel de Cybermalveillance.gouv.fr (2023) — et ces tentatives sont de plus en plus sophistiquées. La bonne nouvelle : avec les bons outils et les bons réflexes, vous pouvez détecter 95 % des emails frauduleux avant de faire une erreur.
Le premier signe à vérifier est l'adresse email affichée — pas le nom d'affichage, mais l'adresse réelle. Un escroc peut nommer son expéditeur "Service Client Crédit Agricole" tout en envoyant depuis support@credit-agricole-securite.ru. Ouvrez le détail de l'expéditeur dans votre client mail et comparez le domaine avec celui du site officiel de l'organisation. Les variantes courantes incluent : paypa1.com (L remplacé par un 1), amazon-securite.com, impots-gouv.fr.phishing.net. Si le domaine ne correspond pas exactement au domaine officiel, l'email est suspect.
Les emails frauduleux contiennent souvent des formulations maladroites, des fautes de grammaire ou un mélange de registres ("Cher(e) client, Votre compte a été compromis. Veuillez agir immédiatement"). Les entreprises sérieuses relisent leurs communications et utilisent un ton cohérent avec leur identité de marque. Un email officiel d'EDF, de La Poste ou de votre banque ne comporte jamais de fautes grossières. La présence de caractères étranges ou de majuscules intempestives ("VOTRE COLIS EST EN ATTENTE DE LIVRAISON!!!") est également un signal d'alarme.
"Votre compte sera suspendu dans 24 heures", "Action requise immédiatement", "Vous avez gagné un prix, réclamez-le avant minuit" : les emails de phishing jouent systématiquement sur la peur ou l'appât du gain pour vous pousser à agir vite, sans réfléchir. L'ANSSI rappelle dans ses guides que la création d'urgence est la technique psychologique la plus utilisée dans les attaques par ingénierie sociale. Prenez toujours le temps de vérifier — aucune organisation légitime ne vous demandera de cliquer sur un lien en moins d'une heure sous peine de conséquences graves.
Avant de cliquer sur n'importe quel lien dans un email suspect, survolez-le avec votre souris (sans cliquer) et regardez l'URL affichée dans la barre de statut de votre navigateur ou client mail. Un lien affiché "www.ameli.fr" peut masquer une URL comme http://ameli-remboursement.xyz/phishing. Méfiez-vous également des raccourcisseurs d'URL (bit.ly, tinyurl.com) utilisés pour cacher la destination réelle. Sur mobile, faites un appui long sur le lien pour afficher l'URL complète avant toute action.
Les pièces jointes frauduleuses se présentent souvent sous des formats qui semblent inoffensifs : un fichier .pdf intitulé "Facture_2024.pdf" ou un fichier Word "Contrat.docx". Ces fichiers peuvent contenir des macros malveillantes ou des scripts d'installation de logiciels espions. L'ANSSI déconseille formellement d'ouvrir toute pièce jointe non sollicitée, même si l'expéditeur semble connu : un compte piraté peut envoyer des malwares à tous ses contacts. Si vous n'attendiez pas ce fichier, appelez l'expéditeur par téléphone pour vérifier avant d'ouvrir quoi que ce soit.
Les en-têtes techniques (headers) d'un email contiennent l'historique complet du parcours du message. Dans Gmail : ouvrez l'email → cliquez sur les trois points en haut à droite → "Afficher l'original". Dans Outlook : ouvrez l'email → Fichier → Propriétés → "En-têtes Internet". Dans Apple Mail : Menu Présentation → Message → En-têtes longs. Vous obtiendrez un bloc de texte technique qui retrace chaque serveur par lequel est passé votre email.
Identifiez la ligne From: (expéditeur déclaré), la ligne Reply-To: (adresse de réponse, souvent différente en cas de phishing) et les lignes Received: (serveurs de transit). Si Reply-To: pointe vers un domaine différent de From:, c'est suspect. Les lignes Received: permettent de remonter à l'IP d'origine — une IP géolocalisée en Russie, au Nigeria ou en Corée du Nord pour un email censé venir de votre banque française est un signal fort.
Ces trois protocoles sont les gardes-fous de l'authentification email :
SPF: FAIL signifie que l'email prétend venir d'un domaine mais a été envoyé depuis un serveur non autorisé par ce domaine.DKIM: FAIL, le message a été modifié ou envoyé sans autorisation.Dans Gmail, ces résultats apparaissent dans la vue "Afficher l'original" sous forme de lignes Authentication-Results.
MXToolbox est l'outil de référence pour les professionnels. Collez l'en-tête complet de l'email dans "Email Header Analyzer" et obtenez en quelques secondes un rapport lisible sur SPF, DKIM, DMARC et les serveurs de transit. L'outil signale également les IPs présentes dans des listes noires de spammeurs.
Google Admin Toolbox propose un analyseur d'en-têtes clair et visuel, particulièrement adapté aux non-techniciens. Il affiche le temps de transit entre chaque serveur — un délai anormal peut indiquer une manipulation.
VirusTotal analyse une URL ou un fichier avec plus de 70 moteurs antivirus simultanément. Copiez-collez l'URL suspecte dans l'onglet "URL" sans cliquer dessus : vous verrez si des moteurs la signalent comme malveillante. Pour les pièces jointes, uploadez le fichier avant de l'ouvrir.
Have I Been Pwned vous indique si votre adresse email a été exposée dans une fuite de données connue. Si votre email figure dans des bases de données pirates, vous êtes une cible prioritaire pour des attaques de spear phishing personnalisées utilisant vos vraies informations.
PhishTank est une base de données communautaire d'URLs de phishing connues. Si l'URL de l'email suspect y figure, vous avez la confirmation qu'il s'agit d'une arnaque déjà documentée.
Un domaine créé il y a 3 jours qui prétend appartenir à "Société Générale" ou à "La Poste" est évidemment frauduleux. Rendez-vous sur who.is ou AFNIC pour les domaines .fr et tapez le domaine de l'expéditeur. La date de création (Creation Date) est l'information la plus importante. Les domaines de phishing sont en général très récents (moins de 30 jours) car ils sont rapidement signalés et bloqués.
Google Safe Browsing maintient une liste actualisée des sites dangereux. Copiez l'URL dans Google Safe Browsing Status pour vérifier si le site a été signalé comme frauduleux.
Si un email prétend venir d'une organisation, tapez directement le nom de l'organisation dans Google et comparez le domaine du site officiel avec celui de l'email reçu. Crédit Agricole = credit-agricole.fr, pas credit-agricole-securite.com. Pour les logos utilisés dans l'email, une recherche d'image inversée (Google Images ou TinEye) peut révéler s'ils ont été copiés d'un vrai site.
La règle d'or : ne cliquez sur aucun lien, n'ouvrez aucune pièce jointe, ne répondez pas. Même "se désabonner" peut confirmer que votre adresse est active et vous exposer à davantage de spam ou de phishing. Si l'email semble provenir d'un service que vous utilisez réellement (banque, administration), connectez-vous directement sur le site officiel en tapant l'URL dans votre navigateur.
SIGNAL SPAM est le dispositif officiel de signalement des spams et tentatives de phishing en France. En installant l'extension navigateur ou le plugin Outlook/Thunderbird, vous pouvez signaler un email en un clic. Ces signalements alimentent les bases de données des FAI et des autorités pour bloquer ces campagnes.
Si vous pensez avoir été victime d'une tentative d'hameçonnage (ou si vous avez cliqué par erreur), rendez-vous sur Cybermalveillance.gouv.fr. Ce service public vous oriente vers les bons interlocuteurs selon votre situation et vous met en relation avec des prestataires certifiés si nécessaire. En 2023, plus de 280 000 personnes ont consulté la plateforme pour des problèmes liés au phishing.
Si l'email prétend venir de votre banque, de l'Assurance Maladie ou d'un service public, appelez directement l'organisation via le numéro officiel figurant sur leur site web (jamais le numéro indiqué dans l'email suspect). Signalez-leur la tentative de phishing : la plupart des grandes organisations disposent d'une adresse email dédiée pour recevoir ces signalements (ex: phishing@laposte.fr, fraude@ameli.fr).
Si vous avez cliqué sur un lien ou fourni des informations : changez immédiatement vos mots de passe (à commencer par votre messagerie et votre banque), activez la double authentification sur vos comptes, et contactez votre banque si vous avez communiqué des informations financières. Déposez une plainte auprès de la police ou de la gendarmerie — cela peut aider les enquêteurs à démanteler les réseaux.
Comment savoir si un email Amazon est authentique ?
Les emails officiels d'Amazon proviennent exclusivement de domaines @amazon.fr ou @amazon.com. Connectez-vous à votre compte Amazon et vérifiez vos messages et commandes dans la section "Vos messages" — tout email légitime d'Amazon y apparaît. Amazon ne vous demandera jamais votre mot de passe ou vos informations de carte bancaire par email.
Un email peut-il être dangereux si je ne clique sur rien ? Dans la grande majorité des cas, simplement ouvrir un email ne suffit pas à compromettre votre appareil. Cependant, certains clients mail anciens ou mal configurés peuvent exécuter du contenu HTML malveillant. Le vrai risque vient des liens cliqués et des pièces jointes ouvertes. Maintenez votre client mail à jour pour minimiser les risques liés à l'ouverture.
Mon adresse email a-t-elle fuité ? Comment le vérifier ? Rendez-vous sur Have I Been Pwned et entrez votre adresse email. Le service vous indique si elle figure dans des bases de données de fuites connues, et dans quelles fuites spécifiques. Si c'est le cas, changez le mot de passe associé à ce service et activez la double authentification.
Un email avec un nom d'affichage connu peut-il être frauduleux ? Absolument. Le nom d'affichage ("Société Générale", "Amazon", "votre collègue Jean Dupont") est entièrement modifiable par n'importe quel expéditeur. Seule l'adresse email réelle et le domaine font foi — et encore, certains pirates parviennent à usurper des domaines légitimes. Vérifiez toujours les en-têtes techniques pour une analyse fiable.
Qu'est-ce que le spear phishing et est-ce plus difficile à détecter ? Le spear phishing est un hameçonnage ciblé qui utilise vos vraies informations (nom, employeur, collègues, projets en cours) pour créer un email très crédible. Contrairement au phishing de masse, il est beaucoup plus difficile à détecter car personnalisé. Ces informations viennent souvent de fuites de données ou de vos réseaux sociaux professionnels. Consultez notre guide sur la vérification d'identité en ligne pour comprendre comment vous protéger.
Signaler un email phishing change-t-il vraiment quelque chose ? Oui. Les signalements sur SIGNAL SPAM et Cybermalveillance.gouv.fr alimentent des bases de données partagées avec les FAI, les hébergeurs et les forces de l'ordre. Ils permettent de bloquer les domaines frauduleux, de suspendre les serveurs d'envoi et parfois d'identifier les responsables. En France, plusieurs groupes de cybercriminels ont été démantelés grâce aux signalements collectifs. Chaque signalement compte.
Les filtres antispam de ma messagerie sont-ils suffisants ? Les filtres antispam modernes (Gmail, Outlook) bloquent environ 99,9 % des spams connus. Mais les campagnes de phishing sophistiquées contournent régulièrement ces filtres en utilisant des domaines récents, des services d'envoi légitimes ou des techniques d'obfuscation. Ne faites pas une confiance aveugle aux filtres : un email qui arrive dans votre boîte de réception principale n'est pas automatiquement sûr.
Vérifier l'authenticité d'un email suspect ne nécessite pas d'être informaticien — il suffit d'appliquer une méthode rigoureuse en quelques minutes :
VériSources vous propose des ressources complémentaires pour reconnaître et déjouer toutes les formes d'arnaques en ligne. Consultez notre guide complet sur les arnaques pour aller plus loin, et retrouvez l'ensemble de nos guides pratiques dans la bibliothèque de guides OSINT.
Nouvelles méthodes OSINT, alertes arnaques et analyses — chaque semaine dans votre boîte mail.