ServicesBlogA proposContact
Retour au blog

Sécurité email

Fraude au président : quand le danger vient d'une vraie boîte mail compromise

Une vraie boîte mail compromise peut passer SPF, DKIM et DMARC tout en servant à une fraude crédible. Connexions, règles de transfert et validations hors email deviennent essentielles.

29 mars 2026 - 8 min

Illustration d'une fraude envoyée depuis une vraie boîte mail compromise

Fraude au président, faux fournisseur, virement urgent : le risque le plus difficile à détecter en messagerie n’est pas toujours l’usurpation d’adresse.

C’est la vraie boîte mail compromise.

Dans ce cas, l’attaquant ne se contente pas d’imiter un expéditeur. Il utilise un compte réel, parfois celui d’un dirigeant, d’un fournisseur, d’un collaborateur ou d’un partenaire.

Et c’est précisément ce qui rend l’attaque redoutable.

Quand l’email vient de la bonne adresse

Dans une usurpation classique, l’attaquant essaie de faire croire qu’il envoie depuis un domaine ou une adresse légitime.

Avec une boîte compromise, le problème change de nature : l’email peut réellement venir de la bonne adresse.

Fraude envoyée depuis une vraie boîte mail compromise

Cela signifie que le message peut parfois :

  • passer SPF ;
  • être signé DKIM ;
  • respecter DMARC ;
  • provenir d’une boîte connue ;
  • s’insérer dans une conversation existante ;
  • utiliser le ton et le contexte du véritable interlocuteur.

Pour un filtre anti-spam, ce type d’email est beaucoup plus difficile à traiter. Il ne ressemble pas toujours à une attaque extérieure. Il ressemble parfois à un échange métier normal.

L’attaquant ne devine pas, il observe

Une boîte compromise donne du temps et du contexte.

L’attaquant peut lire les échanges, comprendre les processus, identifier les bons interlocuteurs, repérer les fournisseurs importants, observer les cycles de paiement et attendre le bon moment.

L'attaquant lit les échanges avant d'envoyer une demande crédible

La fraude devient alors plus crédible, parce qu’elle s’appuie sur des éléments réels :

  • un vrai fournisseur ;
  • une vraie facture attendue ;
  • un vrai projet en cours ;
  • un vrai interlocuteur ;
  • une vraie urgence opérationnelle ;
  • une vraie conversation déjà ouverte.

C’est ce qui distingue ces attaques d’un simple email de phishing envoyé en masse.

Ici, le message peut être ciblé, cohérent et envoyé au moment exact où l’entreprise est prête à agir.

Les scénarios les plus fréquents

Les fraudes par boîte compromise prennent plusieurs formes.

Faux fournisseur

L’attaquant utilise ou observe une boîte fournisseur compromise, puis envoie une demande de changement de RIB.

Le message semble légitime, car il vient d’un contact connu et peut s’inscrire dans une relation commerciale réelle.

Le danger est élevé : la demande n’a pas besoin d’être techniquement suspecte pour être frauduleuse.

Fraude au président

Un compte dirigeant ou un compte proche de la direction est compromis.

L’attaquant peut envoyer une demande de virement, de confidentialité ou d’action rapide à une personne de la finance, de l’administration ou de la direction.

Le ressort est souvent le même : urgence, discrétion, autorité.

Accès ou information sensible

La demande ne porte pas toujours sur un paiement.

Elle peut viser :

  • des identifiants ;
  • un accès applicatif ;
  • un export de données ;
  • une information RH ;
  • des documents internes ;
  • une validation de procédure ;
  • un lien vers un faux portail.

La messagerie devient alors le point d’entrée vers d’autres risques.

Pourquoi SPF, DKIM et DMARC ne suffisent pas

SPF, DKIM et DMARC sont essentiels pour réduire l’usurpation de domaine.

Mais ils ne prouvent pas qu’un compte n’est pas compromis.

Un email authentifié peut être envoyé par un attaquant si celui-ci a pris le contrôle de la vraie boîte ou d’une application autorisée à envoyer pour elle.

C’est une distinction importante :

  • DMARC aide à vérifier l’alignement du domaine ;
  • DKIM aide à vérifier la signature ;
  • SPF aide à vérifier les serveurs autorisés ;
  • mais aucun de ces mécanismes ne garantit que la demande métier est légitime.

Autrement dit : un email authentifié n’est pas forcément un email légitime.

Les contrôles indispensables pour un DSI

Pour un DSI ou un responsable IT, le sujet ne se limite donc pas au filtrage anti-spam.

Il faut aussi surveiller les comportements de compte.

Contrôles contre les fraudes par boîte mail compromise

Les points à suivre en priorité :

  • connexions anormales ou depuis des pays inhabituels ;
  • nouvelles règles de transfert ;
  • règles de suppression automatique ;
  • délégations de boîte mail ;
  • accès OAuth et consentements applicatifs ;
  • changements de mot de passe ;
  • désactivation ou contournement MFA ;
  • connexions sur anciens protocoles ;
  • volumes d’envoi inhabituels ;
  • modifications de signature ou de coordonnées bancaires.

Ces signaux ne doivent pas être isolés. C’est leur combinaison qui révèle souvent l’incident.

La validation hors email reste essentielle

Face à une demande sensible, l’email ne doit pas être le seul canal de validation.

Un changement de RIB, un virement urgent, une demande d’accès, un export de données ou une instruction inhabituelle doit être vérifié par un autre canal.

Exemples :

  • appel vers un numéro déjà connu ;
  • validation dans un outil métier ;
  • double approbation interne ;
  • procédure écrite pour les changements bancaires ;
  • contrôle par une personne différente ;
  • interdiction de valider un changement sensible uniquement par réponse email.

Ce n’est pas une lourdeur administrative. C’est une barrière simple contre une attaque qui exploite la confiance.

Que faire après suspicion de compromission

Si une boîte mail est suspectée d’être compromise, il faut agir vite.

Les premières actions :

  • réinitialiser le mot de passe ;
  • révoquer les sessions actives ;
  • vérifier et réactiver MFA si nécessaire ;
  • supprimer les règles de transfert suspectes ;
  • contrôler les délégations ;
  • vérifier les applications connectées ;
  • analyser les journaux de connexion ;
  • rechercher les emails envoyés pendant la période compromise ;
  • prévenir les interlocuteurs ciblés si besoin ;
  • documenter l’incident et les mesures prises.

Il faut aussi vérifier si la compromission a servi à envoyer des messages vers des clients, fournisseurs ou collaborateurs.

L’impact peut dépasser la seule boîte concernée.

Conclusion

Les fraudes les plus crédibles ne viennent pas toujours d’un domaine usurpé.

Elles viennent parfois d’une vraie boîte mail compromise.

C’est ce qui les rend difficiles à détecter : l’adresse est correcte, l’email peut passer SPF, DKIM et DMARC, et le message peut s’insérer dans une conversation existante.

Pour se protéger, il faut combiner sécurité technique, supervision des comptes, procédures métier et validation hors email.

Un email authentifié n’est pas forcément un email légitime.

C’est souvent là que commence la fraude.