Email-bombing : méfiez-vous de cette vieille arnaque qui fait son retour sur le web
Depuis le début de l’année 2025, les experts en cybersécurité alertent sur cette méthode qui permet aux pirates de prendre le contrôle à distance d’un ordinateur afin d’y installer un logiciel malveillant. Dans son Digital Defense Report 2025, Microsoft dresse le bilan des principales tendances observées en matière de cyberattaques et met en lumière le retour d’une technique de piratage que l’on croyait dépassée : l’email-bombing.
Une vieille technique remise au goût du jour
L'Email-Bombing, dont la première mention de "bombarderie" remonte à 1996 selon Numerama, consiste à inonder une adresse électronique de mails pour la saturer. Si la méthode n'est pas nouvelle, son mode opératoire a été modernisé. Les pirates utilisent désormais des scripts pour vous inscrire massivement et automatiquement à des milliers de newsletters et de services en ligne.
Comme le rapporte Sophos News, cela permet de contourner la plupart des filtres anti-spam traditionnels, avec un envoi pouvant atteindre jusqu'à 3 000 messages en moins d'une heure. Le but de cette première phase est de créer un véritable chaos dans votre boîte de réception. En noyant vos emails légitimes sous un déluge de courriers indésirables, les escrocs créent un écran de fumée. Cet afflux massif rend votre messagerie inutilisable et masque surtout des messages cruciaux, comme des alertes de sécurité réelles provenant de votre banque ou des confirmations de transactions frauduleuses effectuées en parallèle.
De la saturation au piège par téléphone
Peu après l'inondation de votre messagerie, les escrocs passent à la deuxième étape : le vishing. C'est l'une des principales différences entre phishing et vishing : le premier passe par l'écrit (email, SMS), le second (pour "voice phishing") passe par un appel téléphonique. Un individu vous contacte alors, se faisant passer pour un technicien du support informatique. L'état de panique créé par le bombardement d'emails est le principal levier psychologique de l'arnaque.
Profitant de votre confusion, le faux technicien vous presse d'agir, affirmant que votre ordinateur est gravement infecté et vous incite à installer un outil de dépannage reconnu, comme Microsoft Quick Assist, pour lui donner l'accès à distance à votre machine. Il pourra ainsi prendre le contrôle total de votre ordinateur.
Cinq réflexes pour déjouer le piège
Pour éviter ce type d’arnaque, quelques règles de base s'imposent. Un service légitime ne vous appellera jamais de manière proactive pour un problème que vous n'avez pas signalé. Si vous recevez un appel suspect, le bon réflexe est de raccrocher immédiatement, puis de contacter vous-même le service concerné via un numéro officiel que vous aurez trouvé par vos propres moyens.
Si vous vous demandez que faire en cas d'email-bombing massif, ne cédez pas à la panique. Ne supprimez rien de façon automatique, au risque d'effacer une preuve ou un email important noyé dans la masse. Signalez plutôt l'incident à votre service informatique. Refusez systématiquement de communiquer toute information sensible par téléphone, comme un mot de passe ou un code de sécurité.
Enfin, si par malheur l'accès à votre ordinateur a été accordé, déconnectez-le immédiatement d'Internet pour couper la communication avec le pirate. Prenez ensuite contact sans délai avec les autorités compétentes, via le dispositif gouvernemental Cybermalveillance.gouv.fr.
Voir les commentaires