Skip to content
Glossaire

Spoofing email

Le spoofing email (usurpation d'identité par email) consiste à envoyer un message en falsifiant l'adresse d'expéditeur pour se faire passer pour quelqu'un d'autre. Le protocole SMTP, conçu dans les années 1980, n'intègre aucune vérification d'identité native — n'importe qui peut indiquer n'importe quelle adresse dans le champ 'From'. C'est la technique de base derrière la majorité des attaques de phishing et de fraude au président.

10 min de lecture Thomas Ferreira

Comment fonctionne le spoofing email

Pour comprendre le spoofing, il faut revenir aux fondations. Le protocole SMTP (RFC 5321), qui gère l’envoi des emails depuis 1982, fonctionne sur un principe de confiance. Quand un serveur envoie un email, il déclare lui-même qui est l’expéditeur. Personne ne vérifie.

C’est comme si le facteur acceptait de distribuer une lettre portant n’importe quel nom d’expéditeur au dos de l’enveloppe, sans jamais contrôler qu’il s’agit du bon.

Deux adresses, deux niveaux de falsification

Un email comporte en fait deux adresses d’expéditeur distinctes :

  • L’adresse d’enveloppe (MAIL FROM / Return-Path) : utilisée par les serveurs SMTP pour le routage. L’utilisateur final ne la voit pas.
  • L’adresse d’en-tête (From) : celle qui s’affiche dans le client email du destinataire. C’est elle que l’utilisateur lit et à laquelle il fait confiance.

Ces deux adresses peuvent être complètement différentes. Un attaquant peut envoyer un email avec une adresse d’enveloppe technique qu’il contrôle tout en affichant l’adresse du PDG de votre entreprise dans le champ From visible. La plupart des clients email (Outlook, Gmail, Apple Mail) n’affichent que l’adresse From et le display name — l’adresse d’enveloppe est masquée.

Le display name : une troisième couche de tromperie

Au-delà de l’adresse email elle-même, le display name (nom affiché) est un champ libre. Un email provenant de attaquant@domaine-malveillant.com peut afficher “Direction Financière” ou “Jean Dupont - PDG” comme nom d’expéditeur. Sur mobile, seul le display name est visible — l’adresse email complète est tronquée ou masquée.

Ce détail explique pourquoi le phishing sur mobile est si efficace : le destinataire voit “Votre banque” sans jamais voir que l’adresse réelle est notification@banking-alert-secure.xyz.

Les trois types de spoofing

1. Display name spoofing (usurpation du nom affiché)

L’attaquant ne falsifie pas le domaine de l’email. Il utilise sa propre adresse mais modifie le nom affiché pour se faire passer pour quelqu’un d’autre.

Exemple :

From: "Marc Lefebvre - DG" <m.lefebvre.pro@gmail.com>

Le destinataire voit “Marc Lefebvre - DG” dans sa boîte de réception. Sur mobile, l’adresse Gmail est masquée. Ce type de spoofing est le plus simple à réaliser et le plus difficile à bloquer techniquement : l’email est réellement envoyé depuis Gmail, donc il passe SPF, DKIM et DMARC de Gmail sans problème.

C’est la technique la plus utilisée dans les attaques de fraude au président (BEC) : l’attaquant n’a besoin d’aucune compétence technique.

2. Exact domain spoofing (usurpation du domaine exact)

L’attaquant envoie un email depuis le domaine exact de la victime sans y être autorisé.

Exemple :

From: direction@votre-entreprise.fr
(envoyé depuis un serveur non autorisé)

L’email semble provenir de votre-entreprise.fr. Si le domaine n’a pas de configuration SPF ou DMARC, rien n’empêche cette usurpation. Le serveur destinataire n’a aucun moyen de savoir que le serveur expéditeur n’est pas légitime.

Ce type de spoofing est entièrement bloqué par une configuration DMARC en mode p=reject combinée à SPF et DKIM. C’est la raison pour laquelle ces protocoles existent.

3. Cousin domain spoofing (domaine voisin / typosquatting)

L’attaquant enregistre un domaine visuellement similaire au domaine cible et envoie des emails depuis ce domaine.

Exemples :

Domaine légitimeDomaine cousinTechnique
entreprise.frentrepr1se.frSubstitution de caractère
entreprise.frentreprise-sas.frAjout de suffixe
societe-dupont.comsociete-dup0nt.comHomoglyphe (0 vs o)
banque-nationale.frbanque-nationa1e.frHomoglyphe (1 vs l)

Le cousin domain spoofing est le plus sournois des trois : l’attaquant contrôle réellement le domaine, donc il peut configurer SPF, DKIM et DMARC correctement dessus. L’email passe tous les contrôles d’authentification. Seul l’oeil humain — ou une surveillance active des domaines voisins — peut détecter la supercherie.

Exemples concrets

Usurpation de domaine dans les collectivités françaises

En 2023, le CERT-FR a publié un bulletin d’alerte sur une campagne d’emails usurpant les domaines de plusieurs collectivités territoriales françaises. Les attaquants envoyaient de faux avis de paiement depuis des adresses @mairie-*.fr à des fournisseurs, demandant un changement de coordonnées bancaires. Les domaines ciblés n’avaient pas de DMARC configuré, ce qui permettait l’usurpation directe.

Spoofing et fraude au président dans le secteur industriel

En 2024, une ETI industrielle du nord de la France a reçu une demande de virement de 320 000 euros. L’email provenait apparemment du directeur général, avec le bon domaine, la bonne signature et le bon ton. L’attaquant avait combiné du display name spoofing (depuis un compte Gmail) et du spear phishing (informations collectées sur LinkedIn et Societe.com). Le virement a pu être bloqué parce que le DAF a appliqué la procédure de vérification par rappel téléphonique.

Campagnes d’usurpation bancaire

Les banques françaises sont parmi les marques les plus usurpées par spoofing. L’ANSSI et le dispositif Cybermalveillance.gouv.fr documentent régulièrement des campagnes où des emails usurpent les domaines de La Banque Postale, du Crédit Agricole ou de BNP Paribas pour rediriger les victimes vers des sites de phishing. Les établissements bancaires qui ont déployé DMARC en mode reject ont vu ces usurpations de leur domaine exact disparaître — mais pas les variantes par cousin domain.

Le cas du spoofing interne

Certains attaquants usurpent le domaine d’une entreprise pour envoyer des emails à ses propres employés. L’email semble provenir d’un collègue ou de la direction informatique. Sans DMARC, le serveur email de l’entreprise accepte l’email comme s’il était interne. Cette technique est à la base de nombreuses compromissions de comptes email en entreprise.

Comment SPF, DKIM et DMARC protègent contre le spoofing

Les trois protocoles d’authentification email ont été créés spécifiquement pour répondre à la faille fondamentale de SMTP : l’absence de vérification d’identité. Chacun couvre un aspect différent du problème.

SPF : déclarer les serveurs autorisés

SPF (Sender Policy Framework) permet au propriétaire d’un domaine de publier dans le DNS la liste des serveurs autorisés à envoyer des emails en son nom (RFC 7208).

Quand un serveur destinataire reçoit un email prétendant venir de votre-domaine.fr, il interroge le DNS et vérifie que l’adresse IP du serveur expéditeur figure dans l’enregistrement SPF. Si l’IP n’est pas autorisée, le résultat SPF est fail.

Limite contre le spoofing : SPF vérifie l’adresse d’enveloppe (Return-Path), pas l’adresse d’en-tête (From) que l’utilisateur voit. Un attaquant peut utiliser sa propre adresse d’enveloppe (qui passe SPF) tout en falsifiant l’adresse From affichée. C’est pour cette raison que SPF seul ne suffit pas.

DKIM : signer les emails sortants

DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique à chaque email sortant (RFC 6376). La clé publique est publiée dans le DNS du domaine signataire. Le serveur destinataire vérifie que la signature correspond et que le contenu n’a pas été modifié en transit.

Limite contre le spoofing : DKIM prouve qu’un email a bien été signé par un domaine donné, mais le domaine de la signature (d=) peut être différent du domaine From visible. Sans DMARC pour relier les deux, DKIM seul ne bloque pas le spoofing.

DMARC : le lien qui manquait

DMARC (Domain-based Message Authentication, Reporting and Conformance) est le protocole qui comble les lacunes de SPF et DKIM (RFC 7489). DMARC fait deux choses :

  1. Alignement : il vérifie que le domaine de l’adresse From visible correspond au domaine vérifié par SPF (Return-Path) ou DKIM (d=). C’est la pièce manquante. Si un attaquant utilise sa propre adresse d’enveloppe mais falsifie le From, SPF passe mais l’alignement DMARC échoue.

  2. Politique : le propriétaire du domaine publie une instruction explicite sur le traitement des emails non alignés :

    • p=none : surveiller sans agir (reporting seulement)
    • p=quarantine : envoyer en spam
    • p=reject : rejeter l’email avant livraison

Un DMARC p=reject avec SPF et DKIM correctement configurés bloque 100 % du spoofing par exact domain. C’est la protection la plus efficace qui existe contre l’usurpation de votre domaine de messagerie.

Ce que ces protocoles ne bloquent pas

Il faut être clair sur les limites :

Type de spoofingBloqué par SPF/DKIM/DMARC ?
Exact domain spoofingOui (avec DMARC reject)
Display name spoofingNon — l’email provient d’un autre domaine légitime
Cousin domain spoofingNon — l’attaquant contrôle le domaine cousin
Compte email compromisNon — l’email est envoyé depuis le vrai compte

Le display name spoofing et le cousin domain spoofing nécessitent des protections supplémentaires : règles de détection dans la passerelle email, surveillance des enregistrements de domaines similaires et sensibilisation des équipes.

Tester la vulnérabilité de votre domaine

Avant de déployer des protections, vous devez savoir où vous en êtes. Un domaine sans SPF, sans DKIM ou avec un DMARC en p=none est ouvert au spoofing exact domain. N’importe qui peut envoyer un email en se faisant passer pour vous.

Testez votre domaine en 30 secondes avec notre vérificateur de sécurité email. L’outil analyse vos enregistrements DNS (SPF, DKIM, DMARC) et vous donne un score de protection avec des recommandations concrètes.

Les points à vérifier en priorité :

  • SPF : un enregistrement TXT existe-t-il pour votre domaine ? Couvre-t-il tous vos serveurs d’envoi (Microsoft 365, Google Workspace, outil marketing) ?
  • DKIM : vos emails sortants sont-ils signés ? Les sélecteurs DKIM sont-ils publiés dans votre DNS ?
  • DMARC : avez-vous un enregistrement DMARC ? Est-il en mode reject ou toujours en none ?

Un SPF valide + DKIM actif + DMARC p=reject = votre domaine ne peut plus être usurpé par exact domain spoofing.

Comment protéger votre entreprise

Protection technique : le socle technique

1. Déployer SPF, DKIM et DMARC progressivement

Ne passez pas directement à p=reject. L’approche recommandée par l’ANSSI (guide DMARC) et le CERT-FR :

  1. Publiez un enregistrement SPF qui liste tous vos serveurs d’envoi légitimes
  2. Activez la signature DKIM sur chaque service qui envoie des emails pour votre domaine
  3. Publiez un enregistrement DMARC en mode p=none avec reporting (rua=)
  4. Analysez les rapports DMARC pendant 4 à 8 semaines pour identifier les envois légitimes non couverts
  5. Passez à p=quarantine, puis à p=reject une fois que tous les flux sont alignés

2. Surveiller les domaines cousins

Configurez des alertes sur l’enregistrement de domaines similaires au vôtre. Des services de surveillance de marque et de domaines (comme DNSTwist, open source) détectent automatiquement les variantes homoglyphes et typosquatting.

3. Configurer des règles de détection dans votre passerelle email

  • Alerter quand un email externe utilise le nom d’un dirigeant interne comme display name
  • Marquer les emails provenant de domaines enregistrés depuis moins de 30 jours
  • Bannière d’avertissement sur les emails externes dans Microsoft 365 ou Google Workspace

Protection organisationnelle : le facteur humain

Les protections techniques bloquent l’exact domain spoofing, mais pas le display name spoofing ni les domaines cousins. La dernière ligne de défense, ce sont vos équipes.

Sensibilisation ciblée

  • Former les équipes comptables et financières aux techniques de BEC et de spoofing
  • Montrer des exemples concrets de display name spoofing sur mobile vs desktop
  • Enseigner la vérification des en-têtes email (au minimum : l’adresse complète de l’expéditeur, pas seulement le nom affiché)

Procédures de vérification

  • Tout email demandant un virement ou un changement de coordonnées bancaires doit être vérifié par un canal différent (appel téléphonique au numéro connu, pas au numéro dans l’email)
  • Double signature obligatoire au-delà d’un seuil défini
  • Délai de 24 à 48 heures pour tout changement de RIB fournisseur

Procédure de signalement

Mettez en place un bouton “signaler un email suspect” dans votre client email. Un circuit de traitement rapide (analyse en moins de 2 heures) encourage les employés à signaler plutôt qu’à ignorer ou à cliquer.

En résumé : la défense en profondeur

Le spoofing email se combat sur trois fronts :

  1. Authentification DNS : SPF + DKIM + DMARC p=reject bloquent l’usurpation de votre domaine exact. Testez votre configuration maintenant.
  2. Détection : les règles de passerelle email et la surveillance des domaines cousins couvrent les variantes que l’authentification ne peut pas bloquer.
  3. Formation : les équipes formées repèrent le display name spoofing et appliquent les procédures de vérification avant d’agir.

Aucune de ces trois couches ne suffit seule. Ensemble, elles réduisent la surface d’attaque du spoofing à un niveau résiduel difficile à exploiter pour un attaquant.

Questions fréquentes

C'est quoi le spoofing email ?

Le spoofing email est une technique d'usurpation d'identité qui consiste à falsifier l'adresse d'expéditeur d'un email. L'attaquant modifie le champ 'From' du message pour faire croire qu'il provient d'une personne ou d'une organisation de confiance. C'est possible parce que le protocole SMTP ne vérifie pas l'identité de l'expéditeur.

Comment savoir si un email est usurpé (spoofé) ?

Vérifiez les en-têtes complets de l'email : comparez l'adresse du champ 'From' avec le 'Return-Path' et les résultats d'authentification (SPF, DKIM, DMARC). Si les résultats indiquent 'fail' ou si le domaine de l'enveloppe diffère du domaine affiché, l'email est probablement usurpé. La plupart des clients email permettent d'afficher ces en-têtes via les options du message.

Quelle est la différence entre spoofing et phishing ?

Le spoofing est la technique (falsifier l'identité de l'expéditeur), le phishing est l'objectif (obtenir des informations, des identifiants ou un virement). Le phishing utilise souvent le spoofing comme moyen, mais le spoofing peut aussi servir à d'autres fins : diffuser des malwares, nuire à la réputation d'un domaine, ou contourner des filtres de sécurité.

Comment protéger mon domaine contre le spoofing ?

Configurez les trois protocoles d'authentification email : SPF (déclare les serveurs autorisés à envoyer pour votre domaine), DKIM (signe cryptographiquement vos emails) et DMARC (indique aux serveurs destinataires de rejeter les emails non authentifiés). Un DMARC en mode 'reject' bloque la quasi-totalité des tentatives d'usurpation de votre domaine.

Le spoofing email est-il illégal en France ?

Oui. L'usurpation d'identité par voie électronique est un délit puni par l'article 226-4-1 du Code pénal, avec des peines pouvant aller jusqu'à un an d'emprisonnement et 15 000 euros d'amende. Si le spoofing est utilisé pour une fraude (BEC, phishing), les peines sont alourdies au titre de l'escroquerie (article 313-1) : jusqu'à 5 ans d'emprisonnement et 375 000 euros d'amende.

Testez la sécurité email de votre entreprise

Notre outil gratuit analyse votre domaine et vous donne un score de protection contre le phishing en 30 secondes.

Tester mon domaine Voir tout le glossaire