D'abord, respirez
Vous recevez un courriel bizarre. L'expéditeur imite votre banque. Il y a un lien, peut-être un fichier joint. Le réflexe habituel — surtout chez les utilisateurs Windows qui ont grandi avec des virus qui s'exécutaient au simple survol d'une icône — c'est la panique : supprimer immédiatement, vider la corbeille, redémarrer l'ordinateur. Comme si le courriel allait exploser.
Ce réflexe est compréhensible. Mais il vous prive d'une mine d'information. Et surtout, il est inutile — parce que un courriel de phishing ne peut absolument rien faire tant que vous ne cliquez pas sur le lien et que vous n'ouvrez pas la pièce jointe. Il est là, inerte, dans votre boîte. Comme un couteau posé sur une table. Le couteau ne bouge pas tout seul.
« Un courriel frauduleux dans votre boîte, c'est une opportunité — pas une menace active. Adoptez la mentalité du dojo : calme, observation, maîtrise. La peur profite à l'adversaire. La curiosité, à vous. »
Ce que vous avez entre les mains, c'est un document avec des traces, des métadonnées, une origine. Un enquêteur ne détruit pas les preuves — il les lit. C'est exactement ce qu'on va faire ici.
J'ai passé six mois sur TryHackMe, deux certifications, quelques badges et plusieurs sessions aux Hackfests organisés par Polytechnique de l'UdM. Ce que j'y ai appris m'a changé la façon de regarder ma boîte courriel. Pas avec peur — avec curiosité. Parce que chaque tentative d'hameçonnage, chaque appel frauduleux, laisse des traces. Et ces traces se lisent.
Je ne vais pas vous parler de « changer votre mot de passe ». Ça, vous savez déjà. Je vais vous montrer comment retourner la table : analyser, identifier, documenter et dénoncer ceux qui tentent de vous arnaquer.
Le scénario
Voici un courriel fictif mais représentatif de ce qu'on reçoit régulièrement. Il imite Desjardins — logo, ton officiel, urgence fabriquée. On va le disséquer de fond en comble.
À : vous@example.com
Objet : ⚠️ Votre compte a été suspendu — action requise
Date : Lun 25 mai 2026 03:47:12 -0400
Received: from mail.vpshost-ru47.net (185.220.101.47)
by mx.example.com; Mon, 25 May 2026 03:47:15 -0400
X-Originating-IP: 185.220.101.47
Return-Path: <bounce@desjardlns-alerte.com>
Tu as déjà deux signaux d'alarme visibles à l'œil nu : le domaine desjardlns-alerte.com (un « l » à la place du « i ») et l'heure d'envoi à 3h47 du matin depuis un serveur russe. Mais on peut aller beaucoup plus loin.
Étape 1 — Lire les en-têtes complets
Extraire les headers bruts
Chaque client courriel cache les métadonnées techniques par défaut. Il faut aller les chercher.
Gmail : ouvrir le courriel → trois points en haut à droite → Afficher l'original
Outlook : Fichier → Propriétés → En-têtes Internet
Thunderbird : Affichage → Code source du message
Ce que vous cherchez dans les headers : les lignes Received: (le trajet du courriel, de bas en haut), X-Originating-IP: (l'IP de départ) et Return-Path: (où vont les bounces — rarement le même domaine que le From).
Outil en ligne pour lire ça proprement : mxtoolbox.com/EmailHeaders.aspx — vous collez le header brut, il vous dessine le trajet et surligne les anomalies.
Étape 2 — Analyser le domaine frauduleux
WHOIS — qui a enregistré ce domaine?
Notre domaine suspect : desjardlns-alerte.com. WHOIS vous dit qui l'a enregistré, quand, et chez quel registraire.
Registrar: Namecheap, Inc.
Created: 2026-05-20 (il y a 5 jours)
Registrant: REDACTED FOR PRIVACY
Registrant Country: RU
Name Server: ns1.vpshost-ru47.net
Name Server: ns2.vpshost-ru47.net
Cinq jours d'existence, enregistré en Russie, identité masquée par un service de confidentialité. C'est une signature classique de domaine jetable. Les fraudeurs en créent des dizaines par semaine — ils savent qu'ils seront suspendus rapidement.
Outils WHOIS en ligne : whois.com ou lookup.icann.org
Étape 3 — Tracer l'adresse IP
Géolocalisation et réputation de l'IP
On a l'IP d'origine du courriel : 185.220.101.47. On vérifie d'abord qui elle appartient.
OrgName: Frantech Solutions (hébergeur connu pour tolérer l'abus)
Country: LU (Luxembourg — infrastructure, pas l'opérateur réel)
ASN: AS53667
Ensuite, AbuseIPDB vous dira si cette IP a déjà été signalée :
abuseipdb.com/check/185.220.101.47 — dans ce cas fictif, score d'abus : 97%, signalée 412 fois en 30 jours pour spam et phishing.
Pour la géolocalisation approximative : ipinfo.io vous donne ville, FAI, ASN et carte.
Étape 4 — Scanner le lien malicieux
VirusTotal + URLScan.io — ne clique jamais directement
Le courriel contient un bouton « Vérifier mon compte » pointant vers https://desjardlns-alerte.com/secure/login. On n'y va pas — on envoie l'URL aux outils.
VirusTotal (virustotal.com) : analyse l'URL contre 90+ moteurs antivirus et bases de réputation. Résultat typique pour ce genre de page : 34/90 moteurs la signalent comme phishing actif.
URLScan.io (urlscan.io) : visite la page dans un navigateur isolé, prend une capture d'écran, et vous montre tout ce que la page charge en arrière-plan — trackers, scripts, domaines tiers. C'est souvent là qu'on voit que la page imite parfaitement l'interface d'une vraie banque, jusque dans les polices et les couleurs.
Règle absolue : ne jamais visiter un lien suspect directement depuis votre navigateur habituel. Toujours passer par VirusTotal ou URLScan en premier.
Étape 5 — Chercher l'infrastructure avec Shodan
Shodan — le moteur de recherche des serveurs exposés
Shodan (shodan.io) indexe en continu les services exposés sur internet. En cherchant notre IP, on voit ce qu'elle expose publiquement.
Open ports:
25/tcp — SMTP (serveur de courriel)
443/tcp — HTTPS (nginx/1.18.0)
3306/tcp — MySQL exposé sans auth
Hostnames: mail.vpshost-ru47.net
Tags: malware, phishing
Un MySQL ouvert sur un serveur de phishing, c'est souvent là que sont stockées les données volées. Ce genre d'information, vous ne l'utilisez pas vous-même — vous la transmettez aux autorités compétentes.
Shodan est gratuit pour les recherches de base. Un compte permet d'accéder aux filtres avancés et à l'historique.
Étape 6 — Vérifier les DNS et l'authentification courriel
SPF, DKIM, DMARC — les mécanismes que les fraudeurs contournent
Ces trois protocoles sont censés valider l'authenticité des courriels. Les fraudeurs utilisent des domaines où ils contrôlent tout, donc SPF et DKIM peuvent être valides même sur un domaine frauduleux. Mais l'absence de DMARC ou une politique p=none est un signal.
_spf: v=spf1 include:vpshost-ru47.net ~all
_dmarc: (aucun enregistrement)
MX: mail.vpshost-ru47.net
Pas de DMARC. Le vrai Desjardins, lui, a un DMARC strict (p=reject). La comparaison suffit à démontrer l'imposture.
Pour faire ça sans ligne de commande : MXToolbox SuperTool — vous entrez le domaine, vous choisissez SPF, DKIM ou DMARC, il fait le travail.
La trousse OSINT complète
Dénoncer — et à qui
Enquêter, c'est bien. Documenter et transmettre, c'est mieux. Voici où envoyer ce que vous avez trouvé.
Signalement en ligne, formulaire structuré. Incontournable pour les arnaques ciblant des Canadiens.
Pour les courriels commerciaux non sollicités et les tentatives de phishing envoyées massivement.
Tous ont une équipe de sécurité. Un courriel à phishing@desjardins.com ou l'équivalent.
Ils peuvent agir vite pour faire suspendre un domaine frauduleux.
Signaler l'IP directement dans la base collaborative. Ça aide les autres enquêteurs.
Chaque registraire a une adresse abuse@. Un rapport documenté (WHOIS + VirusTotal + URLScan) entraîne souvent la suspension en 24–48h.
Soumettre l'URL de phishing à la base collaborative. Elle sera vérifiée et bloquée dans les navigateurs.
Ce que vous n'avez pas le droit de faire
Observer et documenter : légal. Tenter d'accéder au serveur, exploiter la base MySQL ouverte ou lancer des attaques de déni de service : illégal, même contre des fraudeurs. Au Canada, la Loi sur la cybercriminalité est claire là-dessus. Ton rôle c'est celui du journaliste d'investigation — pas du justicier. Tu collectes, vous transmettez, vous laissez les autorités agir.
Ce que ça donne dans la vraie vie
J'ai appliqué cette méthode sur plusieurs courriels suspects reçus au cours des derniers mois. Dans la majorité des cas, le domaine frauduleux avait moins de deux semaines d'existence. Dans un cas, l'IP appartenait à un nœud de sortie Tor — utilisé intentionnellement pour brouiller les pistes. Dans un autre, un simple WHOIS a révélé que le domaine avait été enregistré depuis la même adresse courriel que cinq autres domaines de phishing actifs. Ce genre de corrélation, c'est exactement ce qu'une équipe de sécurité d'institution bancaire peut exploiter.
« Les fraudeurs laissent des traces parce qu'ils opèrent vite et en volume. La vitesse, c'est leur force — mais c'est aussi leur talon d'Achille. Un domaine enregistré il y a 72 heures, une IP déjà signalée 400 fois, un MySQL grand ouvert — c'est ça, leurs empreintes digitales. »
Tu n'as pas besoin d'un diplôme en sécurité informatique pour faire ce travail. Tu as besoin de curiosité, d'une connexion internet et des huit outils listés plus haut. Le reste, c'est de la lecture de signaux — et ça, ça s'apprend rapidement.