Cette arnaque, consistant à saturer votre boîte mail de messages, a été l’une des menaces les plus redoutables de l’année 2025, selon un rapport de Microsoft. Nous vous expliquons tout ce que vous devez savoir sur cette cyber escroquerie.
L’email bombing. Il est possible que ce terme ne vous dise rien et pourtant, derrière ce nom se cache l’une des menaces les plus redoutables de l’année. Se traduisant par bombardements de messagerie, cette arnaque n’est pas nouvelle, mais elle a été l’une des plus efficaces en 2025, selon le dernier rapport de défense numérique de Microsoft publié le 16 octobre dernier.
« Cette année, l’email bombing est passé d’une utilisation comme écran de fumée à une utilisation comme vecteur de première étape au sein d’une chaîne de diffusion de logiciels malveillants plus vaste », a alerté le géant américain. Zagla vous explique tout ce que vous devez savoir sur cette technique de plus en plus prisée par les cybercriminels.
La première étape…
Comme son nom l’indique, avec l’email bombing, les attaquants cherchent à inonder votre boîte mail de courriels afin de la saturer. Pour cela, ils vont inscrire votre compte à de nombreux services en ligne, newsletters et autres, de sorte à ce que vous receviez des centaines voire des milliers d’emails.
La messagerie étant pleine, elle va se mettre à dysfonctionner. La victime ne verra ainsi plus tous ses messages. Des courriels légitimes pourront par exemple être considérés comme des spams et atterrir dans la rubrique « courrier indésirable ».
« Le but est de masquer les alertes importantes (par exemple, les demandes d’authentification multifacteur, les réinitialisations de mot de passe, les alertes de fraude ou les notifications de transaction) ou de créer un sentiment d’urgence et de confusion », a expliqué Microsoft.
… avant que le piège se referme sur la victime
Ceci n’est que la première étape du plan des cybercriminels. Une fois que vous êtes en état de panique, ils vont faire ce qu’on appelle du vishing, soit vous appeler en usurpant l’identité d’un professionnel de confiance.
Dans le cas présent, ils se font passer pour un faux technicien cherchant à résoudre le problème. Et sans le savoir, le piège va se refermer sur vous, qui allez permettre à l’escroc d’accéder à votre appareil.
« Une fois la confiance établie, les cibles sont incitées à installer des outils d’accès à distance, permettant ainsi aux attaquants de prendre le contrôle direct du système, de déployer des logiciels malveillants et de maintenir leur présence », a détaillé Microsoft.
Et avec ces malwares, les cybercriminels vont pouvoir dérober vos informations personnelles (coordonnées bancaires, photos, etc.). Et cette arnaque va malheureusement devenir encore plus crédible avec l’intelligence artificielle.
« On doit mieux connaître la personne, son entourage, ses connaissances. Et l’IA évidemment (…) facilite cette attaque, donne plus de confiance à l’attaqué », a prévenu Philippe Limantour, directeur technologique et cybersécurité chez Microsoft. Car l’IA peut chercher des informations pour les préparer et les contextualiser, simplifiant le processus pour les cybercriminels, ou automatiser l’envoi d’éléments très crédibles.
Comment s’en prémunir?
Concernant l’adresse mail, il est difficile d’empêcher les cybercriminels de mettre la main dessus. Une simple fuite de données peut par exemple suffire pour qu’elle soit connue et puisse être utilisée pour inonder votre messagerie. En revanche, certaines pratiques permettent de leur compliquer la tâche.
Certaines sont d’ailleurs préconisées pour se protéger du phishing. Si un lien dans l’un de ces mails frauduleux semble louche, ne cliquez pas dessus. De même, évitez de renseigner des informations personnelles sur un site qui vous ne connaissez pas et qui vous paraît suspect.
Il faut par ailleurs ne pas faire confiance à une personne qui vous appelle pour vous aider à régler le problème de votre boîte mail.
« Ça sent directement l’arnaque. Il vaut mieux raccrocher tout de suite. Personne ne va, d’un seul coup, vous appeler comme ça », a insisté Gérôme Billois, expert en cybersécurité chez Wavestone.
Autre bon réflexe à adopter: après avoir raccroché, contactez vous-même la société derrière votre messagerie afin de vérifier la véracité de l’appel.
Source: BFM
