{"id":17973,"date":"2021-10-29T08:30:18","date_gmt":"2021-10-29T06:30:18","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=17973"},"modified":"2021-10-29T11:05:48","modified_gmt":"2021-10-29T09:05:48","slug":"analyzing-mail-header","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/analyzing-mail-header\/17973\/","title":{"rendered":"Comment analyser un e-mail suspect"},"content":{"rendered":"<p>Les signes d\u2019hame\u00e7onnage peuvent \u00eatre \u00e9vidents : <a href=\"https:\/\/www.kaspersky.fr\/blog\/google-script-phishing\/17376\/\" target=\"_blank\" rel=\"noopener\">une adresse du destinataire diff\u00e9rente de celle de la soi-disant entreprise<\/a>, des <a href=\"https:\/\/www.kaspersky.fr\/blog\/office-phishing-html-attachment\/16817\/\" target=\"_blank\" rel=\"noopener\">incoh\u00e9rences<\/a> ou encore des <a href=\"https:\/\/www.kaspersky.fr\/blog\/adobe-online-imitation\/17289\/\" target=\"_blank\" rel=\"noopener\">notifications qui semblent avoir \u00e9t\u00e9 envoy\u00e9es par des services en ligne<\/a>. Pourtant, la d\u00e9tection d\u2019un faux message n\u2019est pas toujours facile. Pour qu\u2019une imitation semble authentique, les cybercriminels falsifient le champ visible de l\u2019adresse e-mail.<\/p>\n<p>Cette technique est peu utilis\u00e9e lorsqu\u2019il s\u2019agit d\u2019attaques d\u2019hame\u00e7onnage de masse, mais nous la voyons plus souvent dans les messages cibl\u00e9s. Si un message vous semble correct mais que vous avez des doutes sur l\u2019authenticit\u00e9 de l\u2019exp\u00e9diteur, essayez de creuser un peu plus profond et v\u00e9rifiez l\u2019en-t\u00eate <em>Received (Re\u00e7u)<\/em>. Cet article vous explique comment proc\u00e9der.<\/p>\n<h2>Pourquoi douter<\/h2>\n<p>Toute demande \u00e9trange est un signal d\u2019alerte. Par exemple, si un message vous demande de faire quelque chose qui ne rel\u00e8ve pas de vos responsabilit\u00e9s, ou vous demande de r\u00e9aliser une action atypique, vous devriez faire particuli\u00e8rement attention. Cela est d\u2019autant plus vrai si l\u2019exp\u00e9diteur dit qu\u2019il s\u2019agit de quelque chose d\u2019important (<em>une demande faite par le PDG\u00a0!<\/em>) ou d\u2019urgent (<em>\u00e0 payer dans les deux heures\u00a0!<\/em>). Ce sont les m\u00e9thodes habituelles d\u2019hame\u00e7onnage. Vous devriez aussi vous m\u00e9fier si on vous demande de\u00a0:<\/p>\n<ul>\n<li>Suivre le lien qui figure dans un e-mail et qui vous redirige vers un site externe qui vous demande de saisir vos identifiants ou des informations bancaires\u00a0;<\/li>\n<li>T\u00e9l\u00e9charger et ouvrir un fichier (surtout s\u2019il s\u2019agit d\u2019un fichier ex\u00e9cutable)\u00a0;<\/li>\n<li>R\u00e9aliser des actions ayant un lien avec des transferts de fonds ou avec l\u2019acc\u00e8s \u00e0 certains syst\u00e8mes ou services.<\/li>\n<\/ul>\n<h2>Comment trouver l\u2019en-t\u00eate d\u2019un e-mail<\/h2>\n<p>Malheureusement, le champ visible <em>De<\/em> peut facilement \u00eatre falsifi\u00e9. En revanche, l\u2019en-t\u00eate <em>Received<\/em> devrait montrer le vrai domaine de l\u2019exp\u00e9diteur. Vous pouvez trouver cet en-t\u00eate dans n\u2019importe quel client de messagerie. Dans ce cas, nous allons prendre l\u2019exemple de Microsoft Outlook puisque ce service est tr\u00e8s utilis\u00e9 par les entreprises de nos jours. Ce processus ne devrait pas beaucoup diff\u00e9r\u00e9 avec les autres services de messagerie. Si vous utilisez un autre service, vous pouvez lire les informations de la section d\u2019aide ou essayer de trouver l\u2019en-t\u00eate vous-m\u00eame.<\/p>\n<p>Pour Microsoft Outlook\u00a0:<\/p>\n<ol>\n<li>Ouvrez le message que vous souhaitez v\u00e9rifier\u00a0;<\/li>\n<li>S\u00e9lectionnez <em>Propri\u00e9t\u00e9s<\/em> dans l\u2019onglet <em>Fichier<\/em>;<\/li>\n<li>Dans la fen\u00eatre <em>Propri\u00e9t\u00e9s<\/em> qui s\u2019ouvre, cherchez le champ <em>Received<\/em> dans la section <em>En-t\u00eates Internet<\/em>.<\/li>\n<\/ol>\n<p>Avant d\u2019\u00eatre remis au destinataire, un e-mail peut passer par plusieurs n\u0153uds interm\u00e9diaires, et c\u2019est pourquoi vous risquez de voir plusieurs champs <em>Received<\/em>. C\u2019est le plus bas qui vous int\u00e9resse puisqu\u2019il contient des informations sur l\u2019exp\u00e9diteur d\u2019origine. Il devrait ressembler \u00e0 cela\u00a0:<\/p>\n<div id=\"attachment_17974\" style=\"width: 385px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-17974\" class=\"wp-image-17974 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2021\/10\/29105729\/analyzing-mail-header-received.png\" alt=\"En-t\u00eate Received\" width=\"375\" height=\"106\"><p id=\"caption-attachment-17974\" class=\"wp-caption-text\">En-t\u00eate <em>Received<\/em><\/p><\/div>\n<h2>Comment v\u00e9rifier le domaine de l\u2019en-t\u00eate <em>Received<\/em><\/h2>\n<p>La fa\u00e7on la plus facile d\u2019interpr\u00e9ter l\u2019en-t\u00eate Received est d\u2019utiliser notre site <a href=\"https:\/\/opentip.kaspersky.com\/?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______&amp;utm_source=kdaily&amp;utm_medium=blog&amp;utm_campaign=fr_wpplaceholder_nv0092&amp;utm_content=link&amp;utm_term=fr_kdaily_organic_undefined\" target=\"_blank\" rel=\"noopener nofollow\">Threat Intelligence Portal<\/a>. Certaines fonctionnalit\u00e9s sont libres d\u2019acc\u00e8s, ce qui veut dire que vous pouvez les utiliser sans vous inscrire.<\/p>\n<p>Pour v\u00e9rifier l\u2019adresse, copiez-la, ouvrez <a href=\"https:\/\/opentip.kaspersky.com\/?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______&amp;utm_source=kdaily&amp;utm_medium=blog&amp;utm_campaign=fr_wpplaceholder_nv0092&amp;utm_content=link&amp;utm_term=fr_kdaily_organic_undefined\" target=\"_blank\" rel=\"noopener nofollow\">Kaspersky Threat Intelligence Portal<\/a>, collez-la dans le champ de recherche de l\u2019onglet <em>Lookup<\/em> puis cliquez sur <em>Look up<\/em>. Le portail va vous fournir tous les renseignements disponibles sur le domaine, sa r\u00e9putation et les d\u00e9tails WHOIS. Le r\u00e9sultat se pr\u00e9sente de cette fa\u00e7on\u00a0:<\/p>\n<div id=\"attachment_17975\" style=\"width: 1492px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-17975\" class=\"wp-image-17975 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2021\/10\/29105837\/analyzing-mail-header-openTIP.png\" alt=\"Informations obtenues sur le site Kaspersky Threat Intelligence Portal\" width=\"1482\" height=\"735\"><p id=\"caption-attachment-17975\" class=\"wp-caption-text\">Informations obtenues sur le site Kaspersky Threat Intelligence Portal<\/p><\/div>\n<p>La toute premi\u00e8re ligne va certainement afficher un verdict \u00ab\u00a0<em>Good<\/em>\u00a0\u00bb (bon) ou un symbole \u00ab\u00a0<em>Uncategorized<\/em>\u00a0\u00bb (Non cat\u00e9goris\u00e9). Cela signifie simplement que nos syst\u00e8mes n\u2019ont pas d\u00e9tect\u00e9 que ce domaine ait \u00e9t\u00e9 utilis\u00e9 \u00e0 des fins criminelles dans le pass\u00e9. Lorsqu\u2019ils pr\u00e9parent une attaque cibl\u00e9e, les cybercriminels peuvent enregistrer un nouveau domaine ou utiliser un domaine l\u00e9gitime de bonne r\u00e9putation ayant une faille. V\u00e9rifiez minutieusement le nom de l\u2019entreprise \u00e0 laquelle le domaine appartient pour voir s\u2019il correspond \u00e0 celui que l\u2019utilisateur soi-disant repr\u00e9sente. Il est peu probable que l\u2019employ\u00e9 d\u2019une entreprise partenaire en Suisse, par exemple, envoie un e-mail via un domaine inconnu enregistr\u00e9 en Malaisie.<\/p>\n<p>D\u2019ailleurs, il convient d\u2019utiliser notre portail pour v\u00e9rifier les liens qui figurent dans les e-mails, surtout s\u2019ils semblent suspects, et d\u2019avoir recours \u00e0 l\u2019onglet <em>File Analysis<\/em> pour analyser les pi\u00e8ces jointes.<\/p>\n<p>Kaspersky Threat Intelligence Portal offre bien d\u2019autres fonctionnalit\u00e9s utiles, mais la plupart ne sont accessibles qu\u2019aux utilisateurs ayant un compte. Pour plus d\u2019informations sur ce service, consultez l\u2019onglet <a href=\"https:\/\/opentip.kaspersky.com\/?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______&amp;utm_source=kdaily&amp;utm_medium=blog&amp;utm_campaign=fr_wpplaceholder_nv0092&amp;utm_content=link&amp;utm_term=fr_kdaily_organic_undefined\" target=\"_blank\" rel=\"noopener nofollow\"><em>About the Portal<\/em><\/a>.<\/p>\n<h2>Vous prot\u00e9ger contre l\u2019hame\u00e7onnage et les e-mails malveillants<\/h2>\n<p>M\u00eame si la v\u00e9rification d\u2019e-mails suspects est une bonne id\u00e9e, il serait encore mieux de garder les messages d\u2019hame\u00e7onnage \u00e0 distance. Ainsi, nous vous conseillons toujours d\u2019installer des solutions anti-hame\u00e7onnage au niveau du <a href=\"https:\/\/www.kaspersky.fr\/small-to-medium-business-security\/mail-server?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_link____mailserver___\" target=\"_blank\" rel=\"noopener\">serveur de messagerie de votre entreprise<\/a>.<\/p>\n<p>De plus, si vous installez une solution \u00e9quip\u00e9e d\u2019une protection anti-hame\u00e7onnage sur tous les postes de travail, celle-ci bloque les liens d\u2019hame\u00e7onnage qui redirigent l\u2019utilisateur, au cas o\u00f9 l\u2019exp\u00e9diteur du message voudrait leurrer le destinataire.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Si vous recevez un e-mail qui vous semble suspect, analysez-le vous-m\u00eame. Voici comment proc\u00e9der. <\/p>\n","protected":false},"author":2685,"featured_media":17976,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3151],"tags":[571,505,90,89],"class_list":{"0":"post-17973","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-analyse","10":"tag-e-mail","11":"tag-hameconnage","12":"tag-phishing"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/analyzing-mail-header\/17973\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/analyzing-mail-header\/23519\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/analyzing-mail-header\/19003\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/analyzing-mail-header\/9527\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/analyzing-mail-header\/25608\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/analyzing-mail-header\/23672\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/analyzing-mail-header\/23171\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/analyzing-mail-header\/26307\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/analyzing-mail-header\/25840\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/analyzing-mail-header\/31779\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/analyzing-mail-header\/10196\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/analyzing-mail-header\/42665\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/analyzing-mail-header\/18341\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/analyzing-mail-header\/15447\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/analyzing-mail-header\/27635\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/analyzing-mail-header\/31892\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/analyzing-mail-header\/27768\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/analyzing-mail-header\/24509\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/analyzing-mail-header\/29871\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/analyzing-mail-header\/29673\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/hameconnage\/","name":"hame\u00e7onnage"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/17973","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2685"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=17973"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/17973\/revisions"}],"predecessor-version":[{"id":17980,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/17973\/revisions\/17980"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/17976"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=17973"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=17973"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=17973"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}