C'est une technique de 1996, mais elle fait un retour fracassant. L'e-mail bombing, ou "bombarderie", est de retour. C'est Microsoft qui le dit dans son rapport annuel sur la cybermenace, le "Digital Defense Report 2025". Mais la méthode a légèrement changé depuis...

La technique n'est plus une simple blague pour saturer une boîte mail, elle est devenu une simple première étape, un écran de fumée, pour une arnaque d'ingénierie sociale bien plus fourbe et efficace.

Qu'est-ce que l'e-mail bombing en 2025 ?

Autrefois, les pirates utilisaient des bots pour envoyer des millions de mails. C'est désormais fini. Les filtres de Gmail et Microsoft 365 ont été grandement améliorés et ils bloquent désormais ce type de contenu. La nouvelle technique de prédilection est désormais le "subscription bombing" (bombardement d'abonnements). L'attaquant qui dispose de votre email va désormais l'inscrire à des milliers de newsletters, forums et campagnes marketing.

Email

Résultat : votre boîte de réception explose sous le nombre de courriels. Elle devient inutilisable, saturée de messages de confirmation et de bienvenue. Le but ? Vous noyer. Pendant que vous paniquez, l'e-mail bombing masque les messages importants : les alertes de sécurité, les confirmations de paiement, ou les réinitialisations de mot de passe que le pirate est en train de faire. C'est une diversion qui sert un but bien plus grave.

Quelle est la deuxième phase de l'attaque ?

C'est là que l'arnaque devient redoutable. Une fois votre boîte hors de contrôle, le pirate passe à l'étape 2 : le vishing (phishing vocal). Il vous appelle, ou vous contacte sur Microsoft Teams, en se faisant passer pour un technicien du support informatique. Il vous dit : "Bonjour, nous avons détecté un dysfonctionnement majeur sur votre compte, votre boîte mail est saturée."

email 03

Vous, en pleine confusion, vous y croyez. L'attaquant vous "propose de résoudre le problème". Il vous guide pour installer un outil d'accès à distance (comme Quick Assist, intégré à Windows) et prend le contrôle total de votre PC. C'est une cyberattaque dévastatrice.

Comment se protéger de cette menace combinée ?

Microsoft considère cette technique comme l'une des plus efficaces de l'année. Elle combine la confusion (le déluge de mails) et l'urgence (l'appel du "sauveur"). Pour s'en prémunir, la vigilance est clé. Si votre boîte mail est soudainement inondée de newsletters, ce n'est pas un hasard, c'est une alerte de sécurité en soi.

Microsoft recommande plusieurs actions :

  • Alerter immédiatement votre équipe de sécurité (en entreprise).
  • Informer les employés et votre entourage sur ces fausses escroqueries d'assistance informatique.
  • Ne jamais faire confiance à un appel ou un message Teams non sollicité se réclamant du support technique.
  • Limiter l'utilisation des outils de gestion à distance.

email 01

Foire Aux Questions (FAQ)

L'e-mail bombing est-il dangereux en soi ?

L'attaque initiale n'est pas dangereuse, elle est surtout agaçante. Elle sature votre boîte mail. Le vrai danger est qu'elle sert à masquer une autre attaque (vol de compte, phishing) ou à vous rendre vulnérable à une arnaque par téléphone (vishing).

Pourquoi les pirates utilisent-ils des inscriptions à des newsletters ?

Les services comme Gmail et Outlook ont des limites d'envoi très strictes pour bloquer les spams. Un pirate ne peut pas envoyer 10 000 mails depuis un seul compte. En revanche, en inscrivant votre adresse sur 10 000 sites différents, il utilise 10 000 serveurs légitimes (sites de e-commerce, forums...) qui, eux, passent les filtres anti-spam.

Que faire si je suis victime d'e-mail bombing ?

Ne paniquez pas. N'installez aucun logiciel à la demande d'un inconnu. Méfiez-vous des appels que vous pourriez recevoir. Contactez *vous-même* le support informatique de votre entreprise si vous êtes au travail. Changez immédiatement vos mots de passe importants (banque, mail principal).