Vérification e-mail

Analysez un email suspect — détection d'usurpation (spoofing) et de compte piraté (BEC)

Pourquoi analyser les en-têtes d’un email ?

Les en-têtes d’un email sont les métadonnées techniques qui voyagent avec chaque message — chemin emprunté par les serveurs SMTP, résultats d’authentification SPF / DKIM / DMARC, identifiants de transit Microsoft/Google, adresses Return-Path et Reply-To. Invisibles par défaut dans Outlook ou Thunderbird, elles contiennent pourtant toute la vérité sur l’origine réelle d’un message. Un phishing bien conçu visuellement peut ressembler à un email de votre banque — mais les en-têtes trahissent presque toujours la supercherie.

Notre outil déroule deux niveaux d’analyse : (1) les 6 contrôles classiques d’authenticité (SPF, DKIM, DMARC, cohérence From/Reply-To/Return-Path, chemin Received, adresse d’expédition privée) qui détectent les usurpations externes, et (2) un moteur de détection de compromission de boîte (Phase 3) qui identifie les cas où un attaquant a piraté une vraie boîte et envoie depuis elle — le phishing le plus dangereux aujourd’hui, car il passe toutes les authentifications.

Pièces jointes PDF — l’analyse va plus loin

Si l’email contient un PDF, l’outil l’inspecte aussi : extraction des IBAN mentionnés (alerte si IBAN étranger alors que l’expéditeur prétend être luxembourgeois), extraction des URLs pour vérifier leur cohérence, contrôle des métadonnées (Creator/Producer étrangers ou suspects). Beaucoup d’arnaques passent par un « document officiel » joint dont les détails techniques trahissent l’origine réelle.

Tout est traité en local grâce à pdf.js — votre email suspect ne voyage pas. Si l’analyse révèle des signaux critiques, un bandeau rouge pulsant s’affiche en tête avec la consigne : « ne cliquez sur aucun lien ».

Questions fréquentes

Quand utiliser cet outil ?
Dès qu’un email vous semble louche : un fournisseur qui réclame un paiement urgent avec un nouvel IBAN, un supposé dirigeant qui demande un virement en dehors des procédures, un courriel d’une administration avec un lien bizarre, un accusé de réception pour une connexion que vous n’avez pas faite. L’outil analyse les en-têtes techniques (invisibles dans le client mail) et remonte les signaux d’alerte en quelques secondes.
Quelle différence entre spoofing et compte piraté ?
Le spoofing (usurpation) est une tentative externe de se faire passer pour un expéditeur — détectée par SPF/DKIM/DMARC, qui échouent. Le compte compromis (BEC, Business Email Compromise) est plus sournois : l’attaquant s’est emparé d’une vraie boîte email et envoie depuis elle — SPF/DKIM/DMARC passent tous, l’email est « authentique » techniquement. Notre moteur Phase 3 détecte ce cas via 8 signaux comportementaux : chaînes de réponse suspectes, liens vers des plateformes no-code détournées (plasmic, netlify, vercel, wixsite, carrd…), domaines masqués, patterns de copie phishing connus, etc.
Mes emails sont-ils envoyés quelque part ?
Non. Toute l’analyse est locale dans votre navigateur — le fichier .eml ou le texte collé ne quitte pas votre appareil. Seule action réseau facultative : si vous cliquez sur « Recevoir le rapport par email », le HTML du rapport (pas l’email d’origine) est envoyé à l’adresse indiquée via notre relais Mailgun, avec BCC à notre support pour suivi.