« Mail bombing » : quand votre boîte mail devient une arme contre vous

Imaginez recevoir des centaines d'emails en quelques minutes : newsletters, inscriptions automatiques, notifications… Votre boîte explose soudainement. Les messages importants — notamment ceux de votre banque — se retrouvent noyés dans le flot. C'est comme si quelqu'un déclenchait toutes les alarmes d'un quartier pour cacher le vrai cambriolage en cours. Votre messagerie devient inutilisable. Ce n'est pas un bug, mais une arnaque bien organisée : le mail bombing.

Comment fonctionne cette arnaque ?

Le mail bombing se déroule le plus souvent en deux étapes :

1. Saturation de votre boîte mail pour masquer des actions frauduleuses

Les cybercriminels inondent votre messagerie de milliers de messages. Sous cette avalanche, les filtres antispam deviennent moins efficaces, et certains mails dangereux arrivent directement dans votre boîte principale. Pendant que vous tentez de comprendre la situation, ils peuvent mener d'autres actions : achats en ligne à votre insu, tentatives de connexion à vos comptes, etc.

2. Piégeage à distance grâce à un faux technicien

Une fois que vous êtes débordé par le bombardement, un faux « technicien » (Microsoft, Google, etc.) vous contacte. Il prétend avoir détecté un problème dans votre messagerie et demande un accès à distance pour « régler la situation ». Si vous acceptez, l'escroc installe discrètement des logiciels malveillants capables de voler vos informations personnelles : mots de passe, coordonnées bancaires, données privées…

Les conséquences possibles

Pour un particulier, les effets peuvent être sérieux :

• Messagerie inutilisable pendant des heures ou des jours.

• Risque de rater des informations importantes (médicales, professionnelles, bancaires).

• Stress et anxiété liés à l'attaque.

• Plus grande vulnérabilité à d'autres fraudes pendant la saturation.

Le mail bombing figure aujourd'hui parmi les nouvelles menaces qui préoccupent de plus en plus les experts en cybersécurité.

Comment se protéger efficacement ?

Il n'existe pas de solution unique, mais une combinaison de bonnes pratiques réduit très fortement les risques.

Protéger son adresse

• Ne pas publier son adresse email sur internet ou les réseaux sociaux.

• Utiliser des alias ou adresses temporaires pour les inscriptions non essentielles.

• Vérifier régulièrement si son adresse a été compromise sur des services comme haveibeenpwned.com (un site gratuit qui vérifie si votre adresse a été piratée).

Renforcer les filtres

• Activer les filtres antispam.

• Créer des règles de tri personnalisées.

• Ajouter les expéditeurs importants en liste blanche.

Utiliser plusieurs adresses mail

• Une adresse pour la banque et l'administration.

• Une pour les services commerciaux.

• Une professionnelle, distincte de la personnelle.

Activer l'authentification à deux facteurs (2FA)

C’est indispensable pour la banque et les achats en ligne. Même si un pirate connaît votre mot de passe, il ne pourra pas se connecter.

Utiliser les alertes SMS pour les opérations bancaires, c'est souvent plus fiable qu'un email en cas d'attaque.

Comment réagir si vous en êtes victime ?

• Gardez votre calme

• Changez immédiatement vos mots de passe en priorité sur les comptes bancaires et d'achat en ligne.

• Vérifiez ensuite vos comptes sensibles directement sur leurs sites (sans passer par un email).

• Informez vos contacts que votre boîte est momentanément perturbée.

• Créez des règles de filtrage d'urgence pour isoler les emails du bombardement.

• Bloquez les domaines sources lorsqu'ils sont identifiables.

• Surveillez vos relevés bancaires pendant plusieurs semaines.

• Désinscrivez vous petit à petit des listes où votre adresse a été ajoutée sans votre accord.

Démarches administratives et juridiques

• Conservez des preuves (captures d'écran, exemples d'emails).

• Contactez votre fournisseur de messagerie.

• Signalez l'attaque sur Cybermalveillance.gouv.fr.

• Déclarez là sur signal-spam.fr.

• Portez plainte si vous subissez un préjudice important.

Aspects juridiques : ce que dit la loi

En France, le mail bombing n'est pas qu'une simple nuisance, c'est un délit. Il peut être poursuivi pour :

• Entrave au fonctionnement d'un système informatique.

• Harcèlement en ligne.

• Autres infractions selon le contexte.

Les sanctions peuvent aller jusqu'à 5 ans d'emprisonnement et 75 000 € d'amende dans les cas les plus graves.

Conclusion

Rappelez-vous, le mail bombing n'est qu'un écran de fumée : le vrai danger se trouve derrière, dans vos comptes et vos données personnelles. Plus vous réagissez vite, moins les cybercriminels ont de marge de manœuvre.

Avec quelques réflexes simples — protéger votre adresse, utiliser des alias, activer la 2FA et surveiller vos comptes — vous pouvez neutraliser l'essentiel du risque.

La meilleure défense reste la prévention, la vigilance et la rapidité d'action.

Quelques outils et ressources utiles

• Services de messagerie robustes : Gmail, Outlook, ProtonMail offrent de bons filtres anti-spam.

• Un outil comme eremove permet de nettoyer les mails en masse.

• Extensions de navigateur : uBlock Origin bloque les scripts qui récupèrent votre adresse mail. 

• Services anti-spam tiers : SpamTitan, Mailwasher, etc. 

• Cybermalveillance.gouv.fr : plateforme d'assistance aux victimes françaises. 

• Gestionnaires d'alias email : SimpleLogin, AnonAddy pour créer des adresses jetables.