E-mail Bombing : tout comprendre sur cette attaque et comment s’en protéger (Guide complet pour les particuliers)
Qu’est-ce que l’e-mail bombing ?
Dans l’univers numérique moderne, notre adresse e-mail est devenue un élément central de notre identité en ligne. On l’utilise pour se connecter à nos comptes, recevoir des notifications, échanger avec des proches ou encore valider des opérations sensibles. Cette importance en fait une cible privilégiée pour les cyberattaques, dont l’une des plus méconnues du grand public : l’e-mail bombing.
Bien que moins spectaculaire qu’un rançongiciel ou une fraude bancaire directe, l’e-mail bombing peut être extrêmement perturbant et entraîner des conséquences graves : boîte mail inutilisable, perte d’informations importantes, saturation mentale, ou encore masquage d’activités frauduleuses. Cet article a pour objectif d’expliquer clairement ce qu’est l’e-mail bombing, comment il fonctionne, quels sont les risques pour les particuliers, et surtout comment s’en protéger efficacement.
Une attaque consistant à saturer votre boîte mail
L’e-mail bombing, ou “mail bombing”, est une technique de cyberharcèlement ou de diversion qui consiste à envoyer une quantité massive d’e-mails en un temps très court à une même adresse.
L’objectif est simple : submerger la victime jusqu’à rendre sa boîte mail inutilisable.
Les volumes peuvent varier de quelques centaines à plusieurs dizaines de milliers de messages reçus en quelques minutes.
Une attaque utilisée pour masquer d’autres actions
Contrairement à d’autres attaques plus sophistiquées, l’e-mail bombing ne vise généralement pas à pirater la boîte mail elle-même. Cependant, il peut servir à :
dissimuler un vol de données
camoufler des transactions frauduleuses (achats, réinitialisations de mot de passe, transferts bancaires)
perturber une personne dans un contexte de cyberharcèlement
faire tomber un service interne (lorsqu’il vise un professionnel)
Ainsi, même si l’attaque peut sembler “simple”, ses conséquences sont loin d’être anodines.
Comment fonctionne l’e-mail bombing ?
Les deux grandes techniques d’e-mail bombing :
1. Le “classic bombing” ou bombardement direct
C’est la méthode la plus ancienne.
L’attaquant utilise un script ou un service automatisé pour envoyer des milliers de messages depuis :
un serveur de messagerie mal configuré,
un script PHP compromis,
des serveurs SMTP détournés,
des botnets.
Les messages reçus peuvent être vides, répétitifs ou contenir du texte incompréhensible.
2. Le “subscription bombing” ou bombardement par inscription massive
C’est aujourd’hui la technique la plus fréquente, et aussi la plus difficile à contrer.
Le principe :
-
L’attaquant utilise des logiciels pour remplir automatiquement des milliers de formulaires en ligne (newsletters, inscriptions, concours, sites de e-commerce…).
-
Chaque formulaire génère un e-mail de confirmation automatique envoyé à la victime.
-
La boîte mail explose sous le volume de messages provenant de sites légitimes.
Cette méthode est particulièrement dangereuse car :
-
les messages sont légitimes et ne sont pas détectés comme spam,
-
la majorité des protections classiques ne suffisent pas,
-
cela rend très difficile le filtrage sans bloquer des e-mails importants.
Pourquoi un particulier serait-il victime d’e-mail bombing ?
1. Pour masquer des activités frauduleuses sur vos comptes
L’usage le plus courant aujourd’hui.
Pendant que vous êtes submergé d’e-mails, il devient très difficile de repérer :
un e-mail de connexion suspecte,
une réinitialisation de mot de passe,
une notification bancaire,
une tentative de phishing ciblé.
L’e-mail bombing sert donc de rideau de fumée numérique.
2. Dans un contexte de cyberharcèlement
Un individu peut être visé pour l’épuiser psychologiquement ou par vengeance (conflit personnel, jalousie, harcèlement scolaire ou professionnel).
3. Fuite de données ou adresse e-mail compromise
Si votre adresse e-mail a été divulguée dans une fuite (ce qui est extrêmement courant), elle peut être ajoutée à des listes vendues sur le dark web. Certains attaquants s’amusent à utiliser ces listes pour lancer automatiquement des campagnes d’e-mail bombing.
4. Pour bloquer votre boîte mail
Certaines boîtes e-mail ont encore des limites strictes d’espace : quelques milliers d’e-mails peuvent suffire à les saturer.
Quels sont les risques concrets pour les particuliers ?
1. Perte de messages importants
Votre boîte se remplit très vite et les messages légitimes sont noyés dans la masse. Il devient difficile voire impossible d’identifier :
un message de votre banque,
un code de sécurité,
un message professionnel urgent,
un courrier administratif.
2. Accès bloqué ou boîte mail saturée
Une saturation peut entraîner :
incapacité à recevoir de nouveaux e-mails,
dysfonctionnement de votre messagerie,
ralentissement du smartphone ou de l’ordinateur.
3. Fraudes facilitées
Le risque principal est le masquage d’une action malveillante :
changement de mot de passe d’un de vos comptes,
achat en ligne frauduleux,
accès à votre messagerie,
vol de données,
inscription à des services malveillants.
4. Stress et surcharge mentale
Temporiser ou nettoyer des milliers d’e-mails peut être épuisant et anxiogène, surtout pour un particulier non familier avec ces attaques.
Signes que vous êtes victime d’e-mail bombing
Indicateurs clés
Vous êtes probablement victime si :
-
vous recevez plusieurs dizaines d’e-mails en quelques minutes,
-
les e-mails proviennent de newsletters, d’inscriptions ou de robots,
-
vous constatez une explosion soudaine de messages de confirmation,
-
vous recevez des e-mails de sites où vous ne vous êtes jamais inscrit,
-
vous repérez des tentatives de connexion dans le même laps de temps.
Les deux premières heures sont cruciales
Il est essentiel d’agir immédiatement pour :
regagner le contrôle de vos comptes,
éviter d’éventuelles fraudes bancaires,
empêcher la prise de contrôle de votre adresse principale.
Que faire immédiatement si vous êtes victime d’e-mail bombing ?
1. Mettre en place des filtres temporaires
Configurez un filtre pour :
déplacer automatiquement les e-mails suspects dans un dossier,
filtrer les e-mails contenant certains mots types (“confirmation”, “newsletter”, “signup”, etc.),
alléger votre boîte de réception pour rester vigilant sur les messages critiques.
2. Vérifier l’activité de vos comptes sensibles
Pendant le bombardement, vérifiez si :
des mots de passe ont été réinitialisés,
de nouvelles connexions apparaissent,
des achats suspects figurent dans vos comptes (Amazon, PayPal, banque),
votre adresse est utilisée comme connexion principale ailleurs.
3. Activer ou réactiver l’authentification à deux facteurs
Indispensable : activez la 2FA pour vos comptes les plus importants :
Messagerie
Banque
Plateformes e-commerce
Services administratifs
Réseaux sociaux
La méthode la plus fiable reste une application d’authentification (Authenticator, Authy, etc.).
4. Changer le mot de passe de votre messagerie
Utilisez un mot de passe fort :
long,
unique,
stocké dans un gestionnaire d’identifiants.
5. Consulter l’état de vos données dans les fuites publiques
Vous pouvez utiliser des sites fiables comme :
Cela vous permettra de savoir si votre adresse apparaît dans une fuite connue.
6. Déclarer la situation si nécessaire
En cas de cyberharcèlement ou de tentative frauduleuse :
signalez l’attaque auprès de votre fournisseur de messagerie,
contactez la plateforme PHAROS si c’est lié à une menace.
Solutions durables pour éviter à nouveau l’e-mail bombing
1. Utiliser une adresse e-mail secondaire pour les inscriptions
Réservez votre adresse principale à :
vos comptes essentiels,
vos contacts personnels.
Créez une adresse secondaire dédiée à :
inscriptions web,
newsletters,
tests de sites.
2. Utiliser des alias d’e-mail
Certains fournisseurs (Outlook, Gmail, ProtonMail) permettent de créer :
des alias jetables,
des adresses masquées,
des adresses temporaires.
Utilisez-les pour limiter votre exposition en ligne.
3. Installer un filtrage avancé ou une messagerie sécurisée
Les solutions payantes ou sécurisées comme ProtonMail ou Tutanota offrent de meilleures protections contre les bombardements massifs, surtout en cas de “subscription bombing”.
4. Se désinscrire intelligemment des newsletters
Utilisez des outils permettant de :
visualiser toutes les newsletters auxquelles vous êtes inscrit,
vous désinscrire en un clic,
détecter les abonnements indésirables.
5. Protéger vos données personnelles
Limitez votre exposition publique :
évitez de publier votre adresse en clair sur les réseaux,
utilisez une image contenant votre e-mail plutôt qu’un texte,
ne partagez pas votre adresse sur les forums ou commentaires.
FAQ : Vos questions les plus fréquentes sur l’e-mail bombing
Un e-mail bombing peut-il pirater ma boîte mail ?
L’attaque en elle-même ne pirate pas votre boîte. Toutefois, elle peut servir de diversion pour un piratage.
Dois-je supprimer les milliers d’e-mails reçus ?
Ce n’est pas nécessaire immédiatement. Installez plutôt un filtre, puis supprimez en masse lorsque la situation est stabilisée.
L’e-mail bombing est-il illégal ?
Oui, c’est une forme d’attaque informatique réprimée par la loi, qu’il soit utilisé pour le harcèlement ou pour masquer une fraude.
Est-ce dangereux pour mon ordinateur ?
Les e-mails bombardés ne contiennent généralement pas de virus. Le danger vient du volume, pas du contenu.
Pour en savoir plus :
