Aller au contenu principal
Retour aux blog
Masterclass : Analyser un Email Suspect Comme un Expert en Cybersécurité
BlogDanger moyen

Masterclass : Analyser un Email Suspect Comme un Expert en Cybersécurité

Le guide ultime pour analyser un email suspect en 10 étapes. En-têtes, liens, domaines, SPF/DKIM, IA : devenez un expert de la détection de phishing.

Partager

Vous venez de recevoir un email suspect. Votre instinct vous dit que quelque chose ne va pas, mais vous n'arrivez pas à mettre le doigt dessus. Peut-être que l'email prétend venir de votre banque, d'un service de livraison ou des impôts. Le logo semble authentique, le ton est professionnel, et pourtant, un détail vous gêne.

Ce guide va vous transformer en expert de l'analyse d'emails. Pas un survol superficiel, pas une simple liste de conseils : une véritable formation en 10 étapes, méthodique et complète, qui reprend les techniques utilisées par les analystes en cybersécurité pour décortiquer un email suspect et rendre un verdict fiable. Après cette lecture, vous ne regarderez plus jamais un email de la même manière.

Chaque étape est un module autonome, avec des instructions concrètes, des exemples réels anonymisés et des outils que vous pouvez utiliser immédiatement. Que vous soyez un particulier souhaitant protéger ses données ou un professionnel IT responsable de la sécurité d'une organisation, cette masterclass est votre référence.

Sommaire

Étape 1 : L'inspection visuelle en 30 secondes

Avant de toucher à quoi que ce soit, avant de cliquer sur le moindre lien ou d'ouvrir la moindre pièce jointe, votre premier réflexe doit être une inspection visuelle rapide et méthodique. En 30 secondes, un analyste entraîné peut repérer la majorité des tentatives de phishing. Voici exactement ce qu'il regarde, dans l'ordre.

Le nom de l'expéditeur vs l'adresse réelle

La première chose visible dans votre boîte de réception est le nom d'affichage de l'expéditeur. Les escrocs le savent et choisissent des noms rassurants : "Service Client Crédit Agricole", "Support Netflix", "Direction Générale des Finances Publiques". Mais ce nom est purement déclaratif. N'importe qui peut l'écrire. Ce qui compte, c'est l'adresse email réelle qui se cache derrière.

Action concrète : Sur Gmail, passez votre souris sur le nom de l'expéditeur. Sur Outlook, cliquez sur le nom. Sur Apple Mail, cliquez sur la flèche à côté du nom. L'adresse complète apparaît.

L'objet du message : les patterns révélateurs

Les emails de phishing utilisent des objets conçus pour déclencher une réaction émotionnelle immédiate. Voici les catégories les plus fréquentes :

  1. Urgence/menace : "Votre compte sera suspendu", "Action requise immédiatement", "Dernier avertissement"
  2. Récompense/gain : "Vous avez gagné", "Remboursement en attente", "Prime exceptionnelle"
  3. Curiosité/peur : "Activité suspecte détectée", "Quelqu'un a accédé à votre compte", "Facture impayée"
  4. Symboles d'alerte : Utilisation excessive de emojis d'avertissement, de majuscules, ou de points d'exclamation

La salutation : générique ou personnalisée ?

Un email légitime de votre banque utilisera votre nom complet : "Bonjour Monsieur Dupont". Un phishing utilisera des formulations génériques : "Cher(e) client(e)", "Cher utilisateur", ou simplement "Bonjour". Ce n'est pas un critère absolu (certains services légitimes utilisent des salutations génériques), mais c'est un indice supplémentaire.

La signature et le pied de page

Les entreprises françaises incluent systématiquement dans leurs emails : une signature complète avec nom du service, des mentions légales, un lien de désinscription fonctionnel, et des coordonnées vérifiables. Un email de phishing aura souvent une signature vague, pas de mentions légales, ou des coordonnées qui ne correspondent pas à l'entreprise réelle.

Voici à quoi ressemble un email de phishing typique qui passerait un examen superficiel mais échouerait à cette inspection en 30 secondes :

Exemple d'email frauduleux

Ce que l'inspection visuelle révèle en 30 secondes : le domaine de l'expéditeur n'est pas credit-agricole.fr, la salutation est générique, l'email crée une urgence artificielle et menace d'une suspension. Quatre signaux d'alerte en un seul coup d'oeil.

Étape 2 : Analyser l'adresse de l'expéditeur

L'adresse de l'expéditeur est le premier élément technique à analyser en profondeur. C'est aussi l'un des plus fréquemment falsifiés. Comprendre son fonctionnement vous donne un avantage décisif.

Comment fonctionne le champ "From"

Un email comporte deux informations d'expédition distinctes :

  • Le nom d'affichage (display name) : texte libre, modifiable par n'importe qui
  • L'adresse email : plus difficile à falsifier, mais pas impossible

Quand vous voyez Service Client PayPal <service@paypa1.com>, le nom d'affichage est "Service Client PayPal" et l'adresse réelle est service@paypa1.com. Notez le chiffre "1" à la place du "l" dans "paypal" : c'est du typosquatting, une technique extrêmement répandue.

Les techniques de falsification les plus courantes

1. Le typosquatting (domaine quasi identique) Les escrocs enregistrent des domaines qui ressemblent visuellement au domaine légitime :

  • amazon.frarnazon.fr (rn ressemble à m)
  • netflix.comnetfIix.com (I majuscule au lieu de l minuscule)
  • paypal.compaypa1.com (1 au lieu de l)
  • ameli.frameli-france.fr (ajout d'un mot)

2. Le sous-domaine trompeur Le sous-domaine est la partie avant le domaine principal. Les escrocs l'exploitent pour créer une illusion :

  • credit-agricole.fr.secure-login.com : ici, le vrai domaine est secure-login.com, pas credit-agricole.fr
  • connexion.impots.gouv.fr.verification-compte.net : le vrai domaine est verification-compte.net

Règle fondamentale : le domaine réel est constitué des deux derniers segments avant l'extension. Dans a.b.c.example.com, le domaine est example.com. Tout ce qui précède est un sous-domaine librement configurable.

3. L'usurpation complète (spoofing) Certains serveurs de messagerie mal configurés permettent d'envoyer des emails avec une adresse "From" totalement falsifiée. L'email semble venir de contact@credit-agricole.fr alors qu'il provient d'un serveur pirate. C'est précisément pour contrer cette technique que SPF, DKIM et DMARC ont été créés (voir étape 5).

Comment révéler l'adresse réelle

| Client email | Méthode | |---|---| | Gmail (web) | Survolez le nom de l'expéditeur avec la souris, ou cliquez sur la petite flèche à côté de "À moi" | | Outlook (web) | Cliquez sur le nom de l'expéditeur pour voir l'adresse complète | | Outlook (desktop) | Double-cliquez sur l'email, puis sur le nom de l'expéditeur | | Apple Mail | Cliquez sur le nom de l'expéditeur dans l'en-tête du message | | Thunderbird | L'adresse complète est affichée par défaut à côté du nom | | Mobile (iOS/Android) | Appuyez sur le nom de l'expéditeur pour développer les détails |

Tableau de référence : adresses légitimes vs frauduleuses

| Marque | Domaine légitime | Exemples frauduleux | |---|---|---| | Crédit Agricole | @credit-agricole.fr | @credit-agricole-verification.com, @ca-securite.fr | | La Banque Postale | @labanquepostale.fr | @banquepostale-service.com, @labanquepostale-fr.com | | Impôts | @dgfip.finances.gouv.fr | @impots-gouv.fr, @remboursement-impots.com | | Ameli | @assurance-maladie.fr | @ameli-remboursement.fr, @ameli-service.com | | Amazon | @amazon.fr | @amazon-fr-service.com, @arnazon.fr | | Netflix | @netflix.com | @netflix-billing.com, @netfIix.com | | PayPal | @paypal.fr ou @paypal.com | @paypa1.com, @paypal-securite.fr | | La Poste | @laposte.fr | @laposte-suivi.com, @colissimo-livraison.fr |

Point crucial : même si l'adresse semble légitime, cela ne garantit pas l'authenticité de l'email. Le spoofing permet de falsifier l'adresse "From". C'est pourquoi les étapes 4 et 5 (en-têtes et authentification) sont indispensables pour une analyse complète.

Étape 3 : Décortiquer les liens sans cliquer

Les liens contenus dans un email sont le vecteur d'attaque principal du phishing. Leur objectif : vous conduire vers une page frauduleuse qui imitera un site légitime pour voler vos identifiants, vos données bancaires ou installer un logiciel malveillant. Vous ne devez jamais cliquer sur un lien suspect. Voici comment les analyser en toute sécurité.

La technique du survol (desktop uniquement)

Sur un ordinateur, placez votre curseur sur le lien sans cliquer. L'URL réelle s'affiche :

  • Dans un navigateur web : en bas à gauche de la fenêtre
  • Dans Outlook desktop : dans une infobulle au-dessus du lien
  • Dans Thunderbird : en bas de la fenêtre

Sur mobile, effectuez un appui long sur le lien. Un aperçu de l'URL apparaît sans ouvrir la page. Sélectionnez "Copier l'adresse du lien" pour l'analyser dans un éditeur de texte.

Anatomie d'une URL : ce que chaque partie signifie

Prenons cette URL comme exemple :

https://connexion.impots.gouv.fr.verification-compte.net/espace-particulier/auth?id=abc123&ref=email

Décomposons-la :

  • https:// : le protocole (HTTPS est chiffré, mais un site de phishing peut aussi utiliser HTTPS)
  • connexion.impots.gouv.fr : ceci est le sous-domaine, librement configurable par le propriétaire du domaine
  • verification-compte.net : c'est le vrai domaine - le site qui héberge réellement la page
  • /espace-particulier/auth : le chemin sur le serveur
  • ?id=abc123&ref=email : les paramètres (peuvent contenir votre adresse email pour le tracking)

Conclusion : malgré la présence de impots.gouv.fr dans l'URL, le vrai domaine est verification-compte.net. C'est un site frauduleux.

Les techniques de masquage les plus courantes

1. Les raccourcisseurs d'URL : bit.ly/3xYz123, tinyurl.com/abc123, t.co/xyz. Impossible de savoir où ils mènent. Pour les démasquer, utilisez un service d'expansion d'URL comme CheckShortURL.com ou GetLinkInfo.com.

2. Les domaines sosies (lookalike domains) : arnazon.fr (rn = m visuellement), gooogle.com (triple o), microsofft.com (double f).

3. Les adresses IP : http://192.168.1.100/login au lieu d'un nom de domaine. Aucune entreprise légitime n'envoie des liens sous forme d'adresse IP.

4. L'encodage de caractères : %63redit-agricole.fr utilise l'encodage URL pour masquer des caractères. Le %63 correspond à la lettre "c".

5. Les caractères Unicode homoglyphes : аmeli.fr où le "а" est un caractère cyrillique visuellement identique au "a" latin. Technique redoutablement efficace et difficile à détecter à l'oeil nu.

Comment vérifier un lien en toute sécurité

  1. Copiez le lien (clic droit > Copier l'adresse du lien)
  2. Collez-le dans un éditeur de texte (Bloc-notes, TextEdit) pour l'examiner
  3. Identifiez le vrai domaine : les deux segments avant l'extension (.com, .fr, .net)
  4. Vérifiez sur mailarnaque.fr : collez le lien dans notre analyseur
  5. Si nécessaire, vérifiez le domaine sur VirusTotal (virustotal.com) ou URLScan (urlscan.io)

Pour une exploration approfondie de toutes les techniques de masquage de liens, consultez notre article dédié aux liens masqués qui couvre les redirections en chaîne, les liens JavaScript et les QR codes malveillants.

Étape 4 : Lire les en-têtes email (niveau intermédiaire)

Les en-têtes (headers) d'un email sont ses métadonnées techniques. Ils contiennent le journal complet du parcours de l'email, depuis son émission jusqu'à votre boîte de réception. C'est l'équivalent numérique d'un cachet postal détaillé. Les escrocs peuvent falsifier le contenu visible d'un email, mais les en-têtes sont beaucoup plus difficiles à manipuler intégralement.

Comment accéder aux en-têtes

Gmail (web) :

  1. Ouvrez l'email
  2. Cliquez sur les trois points verticaux (menu "Plus") en haut à droite du message
  3. Sélectionnez "Afficher l'original"
  4. Une nouvelle fenêtre s'ouvre avec les en-têtes complets et un résumé SPF/DKIM/DMARC

Outlook (web - outlook.com) :

  1. Ouvrez l'email
  2. Cliquez sur les trois points horizontaux (...)
  3. Sélectionnez "Afficher" puis "Afficher la source du message"

Outlook (desktop) :

  1. Double-cliquez sur l'email pour l'ouvrir dans une fenêtre séparée
  2. Allez dans Fichier > Propriétés
  3. Les en-têtes apparaissent dans la section "En-têtes Internet"

Apple Mail :

  1. Ouvrez l'email
  2. Allez dans le menu Présentation > Message > Tous les en-têtes
  3. Ou utilisez le raccourci Cmd + Shift + H

Thunderbird :

  1. Ouvrez l'email
  2. Allez dans Affichage > Code source du message
  3. Ou utilisez le raccourci Ctrl + U

Les en-têtes essentiels à analyser

Voici un exemple d'en-têtes complets (anonymisé) d'un email de phishing, suivi de l'analyse ligne par ligne :

Return-Path: <bounce-server@marketing-plateforme.xyz>
Received: from mail-proxy.marketing-plateforme.xyz (185.234.xx.xx)
        by mx.google.com with ESMTPS id abc123
        for <victime@gmail.com>;
        Mon, 16 Mar 2026 08:30:00 -0000
Received: from localhost (unknown [10.0.0.1])
        by mail-proxy.marketing-plateforme.xyz
        Mon, 16 Mar 2026 08:29:58 -0000
From: "Crédit Agricole - Service Sécurité" <alerte@credit-agricole.fr>
Reply-To: reponse-securite@gmail.com
To: victime@gmail.com
Subject: Activité suspecte détectée sur votre compte
Message-ID: <random-string@marketing-plateforme.xyz>
Authentication-Results: mx.google.com;
       spf=fail (google.com: domain of alerte@credit-agricole.fr does not designate 185.234.xx.xx as permitted sender);
       dkim=none;
       dmarc=fail

Analyse détaillée de chaque champ

Return-Path: <bounce-server@marketing-plateforme.xyz> C'est l'adresse réelle de retour des erreurs. Ici, elle pointe vers marketing-plateforme.xyz alors que l'email prétend venir du Crédit Agricole. Premier signal d'alerte majeur.

Received: (à lire de bas en haut) Les lignes Received tracent le chemin de l'email, du serveur d'origine à votre boîte. La dernière ligne Received (en bas) est le point de départ. Ici, l'email provient de marketing-plateforme.xyz avec l'IP 185.234.xx.xx, pas des serveurs du Crédit Agricole. Deuxième signal d'alerte.

From: vs Reply-To: Le champ From indique alerte@credit-agricole.fr mais le Reply-To pointe vers reponse-securite@gmail.com. Si vous répondez, votre message ira à un compte Gmail, pas au Crédit Agricole. Troisième signal d'alerte.

Message-ID: <random-string@marketing-plateforme.xyz> Le domaine dans le Message-ID correspond normalement au serveur d'envoi. Ici, il confirme que l'email provient de marketing-plateforme.xyz.

Authentication-Results: SPF fail, DKIM none, DMARC fail : l'email échoue à toutes les vérifications d'authenticité. C'est la preuve technique définitive. L'étape 5 détaille ces vérifications.

Pour un guide complet sur la lecture des en-têtes avec des dizaines d'exemples supplémentaires, consultez notre guide complet des en-têtes.

Étape 5 : Vérifier l'authentification SPF, DKIM et DMARC

SPF, DKIM et DMARC sont les trois piliers de l'authentification email. Ils ont été créés pour résoudre un problème fondamental : le protocole SMTP, conçu dans les années 1980, ne vérifie pas l'identité de l'expéditeur. N'importe qui peut envoyer un email en prétendant être n'importe qui. Ces trois protocoles ajoutent des couches de vérification.

SPF (Sender Policy Framework) : qui a le droit d'envoyer

SPF est une liste, publiée dans les DNS du domaine, qui indique quels serveurs sont autorisés à envoyer des emails pour ce domaine.

Fonctionnement simplifié : quand votre serveur de messagerie reçoit un email de @credit-agricole.fr, il consulte les enregistrements DNS du domaine credit-agricole.fr pour vérifier si le serveur émetteur est dans la liste autorisée.

Résultats possibles :

  • spf=pass : le serveur émetteur est autorisé. Bon signe, mais pas suffisant seul.
  • spf=fail : le serveur n'est PAS autorisé. Signal d'alerte fort.
  • spf=softfail : le serveur n'est probablement pas autorisé. Suspect.
  • spf=neutral : le domaine ne spécifie rien. Indéterminé.

DKIM (DomainKeys Identified Mail) : le sceau numérique

DKIM ajoute une signature cryptographique à l'email. Le serveur d'envoi signe le message avec une clé privée. Votre serveur de réception vérifie cette signature avec la clé publique publiée dans les DNS du domaine.

Fonctionnement simplifié : c'est comme un sceau de cire sur une lettre. Si le sceau est intact, la lettre n'a pas été modifiée et provient bien de l'expéditeur déclaré.

Résultats possibles :

  • dkim=pass : la signature est valide. L'email provient bien du domaine et n'a pas été modifié.
  • dkim=fail : la signature est invalide. L'email a été modifié ou ne provient pas du domaine.
  • dkim=none : aucune signature DKIM. Le domaine n'utilise pas DKIM ou l'email est falsifié.

DMARC (Domain-based Message Authentication, Reporting & Conformance) : la politique

DMARC est le chef d'orchestre. Il combine les résultats SPF et DKIM et indique au serveur de réception quoi faire en cas d'échec.

Politiques DMARC :

  • p=none : pas d'action (surveillance uniquement)
  • p=quarantine : placer en spam les emails qui échouent
  • p=reject : rejeter les emails qui échouent (politique la plus stricte)

Où trouver ces résultats dans les en-têtes

Dans Gmail, lorsque vous affichez l'original (voir étape 4), un résumé est affiché en haut de la page avec trois indicateurs clairs : SPF, DKIM et DMARC, chacun avec son résultat PASS ou FAIL.

Dans les en-têtes bruts, cherchez la ligne Authentication-Results: qui contiendra les trois résultats.

Exemple d'un email légitime :

Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of info@credit-agricole.fr designates 192.0.2.1 as permitted sender);
       dkim=pass header.d=credit-agricole.fr;
       dmarc=pass (p=REJECT)

Exemple d'un email de phishing :

Authentication-Results: mx.google.com;
       spf=fail (google.com: domain of alerte@credit-agricole.fr does not designate 185.234.72.xx as permitted sender);
       dkim=none;
       dmarc=fail

La différence est limpide. Le premier email passe toutes les vérifications. Le second échoue partout, ce qui signifie que le serveur émetteur n'est pas autorisé par le domaine credit-agricole.fr.

Vérification manuelle avancée (optionnel)

Pour les utilisateurs avancés, vous pouvez interroger directement les enregistrements DNS. Sur Windows, ouvrez l'invite de commandes et tapez :

nslookup -type=txt credit-agricole.fr

Sur macOS/Linux :

dig TXT credit-agricole.fr

Vous verrez l'enregistrement SPF qui liste les serveurs autorisés. Comparez avec l'IP du serveur émetteur trouvée dans les en-têtes Received.

Statistiques clés

Étape 6 : Analyser le contenu et le ton du message

Au-delà des aspects techniques, le contenu textuel de l'email est une mine d'indices. Les emails de phishing suivent des schémas psychologiques bien identifiés, conçus pour court-circuiter votre raisonnement critique. Apprendre à reconnaître ces patterns est une compétence défensive essentielle.

Les leviers psychologiques du phishing

1. L'urgence et la menace C'est le levier le plus utilisé. L'objectif : vous faire agir vite, avant que vous ayez le temps de réfléchir.

  • "Votre compte sera définitivement fermé dans les 24 heures"
  • "Action immédiate requise pour éviter la suspension de vos services"
  • "Une tentative de fraude a été détectée, confirmez votre identité maintenant"
  • "Dernier rappel avant poursuites judiciaires"

2. L'appât du gain Promettre de l'argent facile pour provoquer l'excitation et réduire la vigilance.

  • "Vous avez un remboursement de 387,50 € en attente"
  • "Votre prime exceptionnelle de 1 200 € est disponible"
  • "Félicitations, vous avez été sélectionné pour recevoir..."

3. L'autorité Se faire passer pour une institution qui inspire le respect et l'obéissance.

  • "Direction Générale des Finances Publiques"
  • "Service Fraude de votre banque"
  • "Huissier de justice mandaté par..."

4. La curiosité ou l'inquiétude Exploiter des émotions naturelles.

  • "Quelqu'un a accédé à votre compte depuis un appareil inconnu"
  • "Votre colis est en attente de livraison"
  • "Une facture impayée de 2 340 € est à votre nom"

Les incohérences linguistiques à repérer

Même si les emails de phishing sont de plus en plus soignés grâce à l'IA, certaines incohérences persistent :

  • Mélange tutoiement/vouvoiement : "Veuillez confirmer ton identité" dans un email qui utilise le "vous" partout ailleurs
  • Registre inadapté : une banque qui utilise un ton trop familier ou, inversement, un ami qui écrit de manière trop formelle
  • Erreurs de localisation : montants en dollars au lieu d'euros, dates au format américain (MM/DD/YYYY), fuseaux horaires incohérents
  • Noms de services inexistants : "Le Département de Vérification Numérique" d'une banque qui n'a jamais utilisé ce nom

L'ère de l'IA : quand les fautes disparaissent

Attention critique : l'absence de fautes n'est plus un indicateur de légitimité. Les outils d'IA générative permettent désormais aux escrocs de produire des textes en français parfait, avec le ton exact des communications officielles. Un email de phishing rédigé par IA peut être grammaticalement irréprochable, utiliser le vocabulaire technique approprié et reproduire fidèlement le style d'une entreprise.

C'est la raison pour laquelle l'analyse du contenu ne peut jamais être le seul critère. Elle doit toujours être combinée avec les vérifications techniques des étapes 2, 4 et 5. Pour comprendre en détail comment l'IA transforme le phishing, consultez notre article sur l'IA et le phishing parfait.

Exercice pratique : les questions à se poser

Face à tout email, posez-vous ces cinq questions :

  1. Est-ce que j'attendais cet email ? Un email non sollicité mérite plus de méfiance.
  2. L'action demandée est-elle logique ? Votre banque ne vous demandera jamais votre mot de passe par email.
  3. L'urgence est-elle justifiée ? Les vraies institutions vous laissent toujours le temps de réagir et envoient des courriers postaux pour les sujets importants.
  4. Puis-je vérifier par un autre canal ? Appelez le numéro officiel de l'organisme (celui de leur site web, pas celui de l'email).
  5. La demande implique-t-elle des données sensibles ? Mot de passe, numéro de carte, code SMS : aucune entreprise légitime ne les demande par email.

Étape 7 : Examiner les pièces jointes (SANS les ouvrir)

Les pièces jointes sont le deuxième vecteur d'attaque après les liens. Un fichier malveillant peut installer un ransomware qui chiffre tous vos fichiers, un keylogger qui enregistre tout ce que vous tapez, ou un cheval de Troie qui donne un accès distant à votre ordinateur. La règle est absolue : n'ouvrez jamais une pièce jointe inattendue sans analyse préalable.

Les extensions de fichiers dangereuses

Voici une classification des extensions par niveau de danger :

Danger critique (exécutables) :

  • .exe, .scr, .bat, .cmd, .com, .pif : programmes exécutables Windows
  • .js, .vbs, .wsf, .ps1 : scripts pouvant exécuter du code
  • .msi, .msp : installateurs Windows

Danger élevé (documents avec macros) :

  • .docm, .xlsm, .pptm : documents Office avec macros activées
  • .doc, .xls (anciens formats) : peuvent contenir des macros silencieuses
  • .pdf : peut contenir du JavaScript ou des exploits

Danger modéré (archives) :

  • .zip, .rar, .7z, .tar.gz : peuvent contenir n'importe quel type de fichier
  • Archives protégées par mot de passe : le mot de passe est fourni dans l'email pour que l'antivirus ne puisse pas scanner le contenu

Le piège de la double extension

C'est l'une des techniques les plus sournoises. Windows masque par défaut les extensions connues. Un fichier nommé facture.pdf.exe apparaîtra comme facture.pdf avec une icône de fichier exécutable. La victime pense ouvrir un PDF inoffensif, mais lance en réalité un programme malveillant.

Comment se protéger : activez l'affichage des extensions dans l'Explorateur Windows. Allez dans Affichage > Options > onglet Affichage > décochez "Masquer les extensions des fichiers dont le type est connu".

Comment analyser une pièce jointe sans l'ouvrir

1. VirusTotal (virustotal.com)

  • Téléchargez le fichier (sans l'ouvrir) sur virustotal.com
  • Le service le scanne avec plus de 70 antivirus simultanément
  • Résultat en quelques secondes : nombre de détections sur le nombre total de moteurs
  • Attention : les fichiers uploadés deviennent accessibles aux chercheurs en sécurité. Ne téléchargez pas de documents confidentiels.

2. Any.Run (any.run)

  • Sandbox en ligne qui exécute le fichier dans un environnement isolé
  • Vous pouvez voir en temps réel ce que le fichier fait : connexions réseau, fichiers créés, registres modifiés
  • Version gratuite disponible (analyse publique)

3. Hybrid Analysis (hybrid-analysis.com)

  • Similaire à Any.Run, avec des rapports détaillés
  • Analyse comportementale automatisée

4. En ligne de commande (utilisateurs avancés)

  • Vérifiez le type réel du fichier : file facture.pdf (Linux/macOS) révèle si un fichier est réellement ce qu'il prétend être
  • Calculez le hash du fichier et recherchez-le sur VirusTotal sans uploader le fichier

Règle absolue : N'ouvrez JAMAIS une pièce jointe d'un email inattendu. Même un simple PDF peut contenir un exploit. En cas de doute, contactez l'expéditeur par un autre canal.

Les scénarios de pièces jointes les plus courants en phishing

  • "Votre facture" : fichier .doc ou .xlsm avec macro malveillante
  • "Bon de commande" : archive .zip contenant un exécutable
  • "Document signé" : faux .pdf qui est en réalité un .pdf.exe
  • "Photo souvenir" : fichier .jpg.scr (économiseur d'écran, exécutable)
  • "Mise à jour de sécurité" : fichier .msi ou .exe déguisé

Étape 8 : Vérifier le domaine de l'expéditeur

Vous avez identifié le domaine réel de l'expéditeur grâce aux étapes précédentes. Il est maintenant temps de mener l'enquête sur ce domaine. La vérification WHOIS est l'un des outils les plus puissants de l'analyste cybersécurité.

Qu'est-ce que le WHOIS ?

Chaque nom de domaine est enregistré dans une base de données publique appelée WHOIS. Elle contient (quand les informations ne sont pas masquées) : le nom du propriétaire, la date de création, la date d'expiration, le registrar (le fournisseur qui a vendu le domaine) et les serveurs DNS.

Comment effectuer une recherche WHOIS

Outils en ligne gratuits :

  • who.is : interface simple et claire
  • whois.domaintools.com : informations détaillées avec historique
  • Notre outil : utilisez notre outil de vérification de domaine qui combine WHOIS et analyse de réputation

En ligne de commande (macOS/Linux) :

whois credit-agricole-verification.com

Les indices révélateurs dans le WHOIS

1. La date de création du domaine C'est l'indicateur le plus fiable. Les domaines de phishing sont généralement créés quelques jours ou semaines avant la campagne. Un domaine créé il y a 3 jours qui prétend être celui d'une banque centenaire est frauduleux à 99,9%.

  • Domaine légitime : credit-agricole.fr - créé le 10 décembre 1996
  • Domaine de phishing : credit-agricole-verification.com - créé le 12 mars 2026

2. Le registrar et la localisation Les domaines de phishing sont souvent enregistrés auprès de registrars low-cost dans des juridictions peu regardantes. Un domaine .fr prétendant représenter une institution française mais enregistré via un registrar basé dans un pays sans coopération juridique est suspect.

3. La protection de la vie privée (Privacy Protect) Les services de masquage WHOIS sont légitimes et utilisés par de nombreuses entreprises. Mais un domaine récent avec des informations masquées qui prétend être une institution bancaire est un signal d'alerte supplémentaire.

4. L'expiration proche Les domaines de phishing ont souvent une durée d'enregistrement minimale (1 an). Un domaine légitime d'entreprise est généralement renouvelé pour plusieurs années.

Schéma d'analyse type

Lorsque vous étudiez un domaine suspect, suivez cette séquence :

  1. Notez le domaine exact (attention aux sous-domaines trompeurs)
  2. Effectuez une recherche WHOIS
  3. Vérifiez la date de création : moins de 6 mois = suspect
  4. Vérifiez le registrar : cohérent avec le pays du prétendu expéditeur ?
  5. Recherchez le domaine sur Google : un domaine légitime aura une présence en ligne
  6. Utilisez notre outil de vérification pour une analyse automatisée

Étape 9 : Croiser avec les bases de signalement

Votre analyse personnelle est précieuse, mais vous n'êtes pas seul. Des millions de signalements alimentent des bases de données collaboratives qui permettent d'identifier les campagnes de phishing connues. Voici comment les exploiter.

Signal Spam (signal-spam.fr)

Qu'est-ce que c'est : L'association française de référence pour la lutte contre le spam. Partenariat avec la CNIL, les FAI et les autorités.

Comment l'utiliser :

  1. Rendez-vous sur signal-spam.fr
  2. Créez un compte gratuit
  3. Installez le module pour votre client email (Gmail, Outlook, Thunderbird)
  4. Signalez les emails suspects en un clic
  5. Consultez les statistiques de signalement

Intérêt pour l'analyse : si de nombreuses personnes ont signalé le même type d'email, c'est une confirmation qu'il s'agit d'une campagne de phishing connue.

PhishTank (phishtank.org)

Qu'est-ce que c'est : Base de données communautaire d'URLs de phishing vérifiées, gérée par Cisco Talos.

Comment l'utiliser pour l'analyse :

  1. Allez sur phishtank.org
  2. Dans la barre de recherche, collez l'URL suspecte extraite de l'email
  3. Si l'URL est dans la base, elle sera affichée comme "phish vérifié"
  4. Vous pouvez aussi chercher par domaine pour voir si d'autres URLs du même domaine ont été signalées

Google Safe Browsing (transparencyreport.google.com)

Qu'est-ce que c'est : Le système de protection de Google qui analyse des milliards d'URLs quotidiennement.

Comment vérifier une URL :

  1. Rendez-vous sur transparencyreport.google.com/safe-browsing/search
  2. Collez l'URL suspecte
  3. Google vous indique si le site est considéré comme dangereux
  4. Ce même système protège les utilisateurs de Chrome, Firefox et Safari

URLhaus (urlhaus.abuse.ch)

Qu'est-ce que c'est : Base de données spécialisée dans les URLs distribuant des malwares, gérée par abuse.ch.

Comment l'utiliser :

  1. Allez sur urlhaus.abuse.ch/browse/
  2. Recherchez par URL, domaine ou adresse IP
  3. La base contient des informations sur le type de malware distribué
  4. Mise à jour en temps réel par des chercheurs en sécurité du monde entier

VirusTotal URL Scanner (virustotal.com)

Au-delà des fichiers, VirusTotal analyse aussi les URLs :

  1. Allez sur virustotal.com
  2. Cliquez sur l'onglet "URL"
  3. Collez l'adresse suspecte
  4. Le service la vérifie contre plus de 90 bases de données de sécurité
  5. Le résultat indique le nombre de moteurs qui considèrent l'URL comme malveillante

Pharos (internet-signalement.gouv.fr)

La plateforme officielle du gouvernement français pour signaler les contenus illicites en ligne. Même si elle est orientée signalement plutôt qu'analyse, consulter les alertes en cours peut aider à identifier des campagnes actives.

Technique avancée : recherche par hash de l'email

Certaines plateformes permettent de rechercher des emails de phishing par leur contenu. Copiez un extrait distinctif de l'email (l'objet exact, une phrase caractéristique) et recherchez-le sur Google entre guillemets. Si d'autres personnes ont publié le même email sur des forums de sécurité, vous aurez votre confirmation.

Étape 10 : Le verdict - Arbre de décision

Vous avez mené l'enquête complète. Il est temps de rendre votre verdict. Utilisez cet arbre de décision en attribuant un point pour chaque indicateur de phishing détecté.

Les 5 questions du verdict

Question 1 : L'authentification email est-elle valide ?

  • SPF, DKIM et DMARC passent tous → 0 point
  • Un ou plusieurs échouent → +1 point

Question 2 : Le domaine est-il établi et légitime ?

  • Domaine de plus de 6 mois, cohérent avec l'expéditeur déclaré → 0 point
  • Domaine récent, inconnu, ou non lié à l'expéditeur déclaré → +1 point

Question 3 : Les liens pointent-ils vers le domaine officiel ?

  • Tous les liens mènent vers le domaine officiel de l'entreprise → 0 point
  • Des liens mènent vers des domaines tiers, raccourcis, ou suspects → +1 point

Question 4 : Le message utilise-t-il des leviers de manipulation ?

  • Ton neutre, informatif, pas d'urgence artificielle → 0 point
  • Urgence, menaces, promesses de gain, pression émotionnelle → +1 point

Question 5 : Y a-t-il des pièces jointes inattendues ?

  • Pas de pièce jointe, ou pièce jointe attendue dans un format sûr → 0 point
  • Pièce jointe inattendue, format exécutable, archive protégée par mot de passe → +1 point

Interprétation du score

Score 0-1 : Probablement sûr ✅ L'email passe la majorité des vérifications. Il est probablement légitime. Restez vigilant, mais le risque est faible. Si un doute persiste, vérifiez par un autre canal (téléphone au numéro officiel).

Score 2-3 : Suspect ⚠️ Plusieurs indicateurs sont préoccupants. Ne cliquez sur aucun lien et n'ouvrez aucune pièce jointe. Contactez l'expéditeur présumé par un canal indépendant (numéro de téléphone trouvé sur le site officiel, pas dans l'email). Signalez l'email à Signal Spam.

Score 4-5 : Phishing quasi certain 🚫 L'email cumule les signaux d'alerte. C'est un phishing. Supprimez l'email, signalez-le (bouton "Signaler comme phishing" de votre client email + Signal Spam), et si vous avez cliqué ou fourni des informations, agissez immédiatement : changez vos mots de passe, contactez votre banque, consultez notre guide d'urgence.

Arbre de décision visuel

L'expéditeur est-il vérifié (SPF/DKIM pass) ?
├── NON → +1 drapeau rouge
└── OUI → Continuer

Le domaine a-t-il plus de 6 mois ?
├── NON → +1 drapeau rouge
└── OUI → Continuer

Les liens pointent-ils vers le domaine officiel ?
├── NON → +1 drapeau rouge
└── OUI → Continuer

Le message contient-il une demande urgente ?
├── OUI → +1 drapeau rouge
└── NON → Continuer

Y a-t-il des pièces jointes inattendues ?
├── OUI → +1 drapeau rouge
└── NON → Continuer

RÉSULTAT :
0-1 drapeaux → Probablement légitime
2-3 drapeaux → Traiter avec méfiance
4-5 drapeaux → Phishing quasi certain → Supprimer et signaler

Bonus : Utiliser mailarnaque.fr pour automatiser l'analyse

Les 10 étapes que vous venez de maîtriser forment la démarche complète d'un analyste en cybersécurité. Mais soyons réalistes : effectuer manuellement ces 10 vérifications pour chaque email suspect prendrait entre 15 et 30 minutes. C'est pourquoi nous avons construit l'analyseur de mailarnaque.fr.

Ce que notre analyseur vérifie automatiquement

Lorsque vous collez le contenu d'un email dans notre outil, voici ce qu'il effectue en quelques secondes :

1. Extraction et analyse de l'expéditeur : identification du domaine réel, détection du typosquatting, comparaison avec notre base de domaines légitimes français (banques, administrations, e-commerce).

2. Analyse de tous les liens : extraction de chaque URL, résolution des raccourcisseurs, identification du domaine réel de destination, vérification contre les bases de phishing connues.

3. Détection des patterns de manipulation : notre algorithme identifie les leviers psychologiques (urgence, menace, gain, autorité) et les quantifie.

4. Analyse du contenu : détection des incohérences linguistiques, des formulations typiques du phishing, et évaluation de la cohérence globale du message.

5. Vérification du domaine : consultation automatique de l'âge du domaine, de sa réputation et de sa présence dans les bases de signalement.

6. Score de risque global : toutes ces analyses sont combinées en un score clair, accompagné d'une explication détaillée de chaque point d'alerte détecté.

Comment utiliser l'analyseur

  1. Ouvrez l'email suspect dans votre client email (sans cliquer sur aucun lien)
  2. Sélectionnez et copiez l'intégralité du contenu visible de l'email (Ctrl+A puis Ctrl+C)
  3. Rendez-vous sur mailarnaque.fr
  4. Collez le contenu dans le champ d'analyse
  5. Lancez l'analyse et consultez le rapport détaillé

L'analyseur ne remplace pas votre jugement, mais il automatise les vérifications techniques les plus chronophages et vous fournit les éléments nécessaires pour prendre une décision éclairée.

Vous avez un email suspect sous les yeux ? Copiez-collez son contenu dans notre analyseur sur mailarnaque.fr — il effectue automatiquement les 10 étapes de cette masterclass en quelques secondes.

Analyser un email

Checklist rapide à imprimer

Conservez cette checklist à portée de main pour chaque email suspect. Cochez chaque point au fur et à mesure de votre analyse.

  • [ ] Inspection visuelle : nom de l'expéditeur cohérent ? Objet alarmiste ou trop beau ? Salutation personnalisée ou générique ? Signature complète avec mentions légales ?
  • [ ] Adresse email : le domaine après le @ correspond bien à l'organisme officiel ? Pas de typosquatting ? Pas de sous-domaine trompeur ?
  • [ ] Liens : survol effectué sur chaque lien ? Le domaine de destination est officiel ? Pas de raccourcisseurs, d'adresses IP ou de caractères suspects ?
  • [ ] En-têtes : Return-Path cohérent avec le From ? Serveurs Received plausibles ? Pas de Reply-To suspect ?
  • [ ] Authentification : SPF pass ? DKIM pass ? DMARC pass ?
  • [ ] Contenu : pas de pression urgente injustifiée ? Pas de demande de données sensibles ? Pas de promesse de gain ? Ton et vocabulaire cohérents ?
  • [ ] Pièces jointes : aucune pièce jointe inattendue ? Pas de format exécutable ? Pas de double extension ? Si doute, analysée sur VirusTotal ?
  • [ ] Domaine : vérifié en WHOIS ? Plus de 6 mois d'existence ? Registrar cohérent ?
  • [ ] Bases de signalement : URL vérifiée sur PhishTank, Google Safe Browsing, VirusTotal ?
  • [ ] Verdict : score calculé ? Action appropriée (confiance / prudence / suppression + signalement) ?

Questions fréquentes

Peut-on se fier uniquement à l'analyse visuelle ?

Non, absolument pas. L'inspection visuelle (étape 1) est un filtre initial utile qui détecte les phishing grossiers, mais elle est totalement insuffisante face aux attaques sophistiquées. Les emails de phishing générés par IA sont visuellement indiscernables des emails légitimes : français parfait, mise en page identique, logos haute résolution, personnalisation crédible. L'analyse visuelle doit toujours être complétée par les vérifications techniques (en-têtes, SPF/DKIM/DMARC, analyse du domaine). C'est la combinaison des 10 étapes qui vous donne un verdict fiable, pas une seule d'entre elles.

Un email avec SPF/DKIM valide est-il forcément sûr ?

Non. Un SPF/DKIM valide signifie que l'email provient bien du domaine indiqué et n'a pas été altéré en transit. Mais cela ne signifie pas que le domaine est légitime. Un escroc qui crée le domaine credit-agricole-securite.com et configure correctement SPF et DKIM pour ce domaine obtiendra des résultats "pass" pour ses emails frauduleux. SPF/DKIM vérifient l'authenticité technique, pas la légitimité de l'expéditeur. C'est pourquoi l'étape 8 (vérification du domaine via WHOIS) est indispensable en complément.

Comment analyser un email sur smartphone ?

L'analyse sur smartphone est plus limitée mais reste possible. Voici les adaptations :

  1. Expéditeur : appuyez sur le nom de l'expéditeur pour voir l'adresse complète
  2. Liens : appui long sur un lien pour voir l'URL sans l'ouvrir
  3. En-têtes : dans l'app Gmail, allez dans les options du message et cherchez "Afficher l'original". L'option n'est pas disponible sur toutes les apps mobiles.
  4. Meilleure méthode : transférez l'email suspect vers votre ordinateur pour une analyse complète, ou utilisez directement l'analyseur de mailarnaque.fr depuis votre navigateur mobile en copiant-collant le contenu du message.

Les emails de phishing peuvent-ils infecter mon ordinateur juste en les ouvrant ?

Dans la grande majorité des cas, non. Les clients email modernes (Gmail web, Outlook web, Apple Mail, Thunderbird dans leurs versions récentes) n'exécutent pas automatiquement les scripts contenus dans les emails. La simple lecture d'un email est généralement sans risque. Les dangers surviennent lorsque vous : cliquez sur un lien et entrez des informations sur un site frauduleux, ouvrez une pièce jointe malveillante, ou activez des macros dans un document Office. Il existe des exploits rarissimes qui peuvent compromettre un système à la simple ouverture d'un email via des failles de sécurité non corrigées, mais ils sont extrêmement rares et ciblés. Maintenez votre système et vos logiciels à jour pour vous protéger contre ces cas exceptionnels.

Combien de temps faut-il pour analyser un email suspect ?

Avec de la pratique, entre 2 et 5 minutes manuellement. L'inspection visuelle prend 30 secondes. La vérification de l'expéditeur et des liens, 1 à 2 minutes. La lecture des en-têtes et la vérification SPF/DKIM/DMARC, 2 à 3 minutes pour un utilisateur intermédiaire. La recherche WHOIS et la consultation des bases de signalement, 2 minutes supplémentaires. Au total, une analyse complète des 10 étapes prend entre 5 et 10 minutes. Avec notre analyseur sur mailarnaque.fr, les vérifications techniques sont automatisées et le résultat est disponible en quelques secondes. Avec le temps, vous développerez des réflexes qui vous permettront d'identifier la plupart des phishing en moins d'une minute.

Pour aller plus loin

Cette masterclass vous a donné les outils pour analyser n'importe quel email suspect. Pour approfondir chaque aspect, consultez nos articles spécialisés :

Pour les arnaques au-delà des emails (téléphone, SMS, réseaux sociaux), consultez iarnaque.fr qui couvre l'ensemble des arnaques en ligne et hors ligne.

Articles similaires

Comment vérifier une URL avant de cliquer : guide technique illustré

Apprenez à analyser et vérifier une URL suspecte avant de cliquer : structure, pièges courants, outils de vérification. Guide technique complet.

Lire

Phishing en entreprise : BEC, spear phishing et whale phishing expliqués

BEC, spear phishing, whale phishing : comprendre les attaques ciblées en entreprise et former efficacement vos employés pour s'en protéger.

Lire

Phishing sur les réseaux sociaux : Instagram, Facebook et TikTok

Faux concours, faux badges vérifiés, usurpation de profils : découvrez les techniques de phishing sur Instagram, Facebook et TikTok et comment s'en protéger.

Lire