Pourquoi le spoofing est-il techniquement possible ?

Parce que les protocoles historiques d'internet et de téléphonie ne vérifient pas l'authenticité de l'émetteur. SMTP (1982) n'impose aucune preuve que vous êtes bien l'expéditeur déclaré. Le protocole de signalisation téléphonique SS7 (1975) fait confiance aux opérateurs. Le DNS (1983) accepte les réponses sans signature par défaut. Les protocoles modernes qui corrigent ces faiblesses (DMARC, DNSSEC, MAN) sont des ajouts récents et leur adoption reste partielle.

Quelle différence entre spoofing et phishing ?

Le spoofing est une technique : falsifier une identité technique. Le phishing est un objectif : manipuler une victime pour obtenir quelque chose. La plupart des phishings utilisent du spoofing (email spoofé, numéro spoofé), mais le spoofing peut aussi servir à d'autres objectifs (attaque man-in-the-middle, contournement de filtre, attaque DDoS par amplification DNS).

DMARC bloque-t-il vraiment tout le spoofing email ?

DMARC en mode reject bloque l'usurpation exacte de votre domaine : un attaquant ne peut plus envoyer depuis noreply@votredomaine.fr. Mais il ne bloque pas les domaines ressemblants (typosquatting), ni l'usurpation du nom affiché (display name spoofing), ni les emails envoyés depuis un compte légitime compromis (EAC). DMARC est nécessaire mais pas suffisant.

Le spoofing téléphonique est-il toujours possible en France ?

Réduit mais pas éliminé. Depuis octobre 2023, le MAN (Mécanisme d'Authentification des Numéros) déployé par l'Arcep bloque l'usurpation des numéros français fixes (01-05), et depuis octobre 2024, il concerne aussi les numéros mobiles (06-07). Les appels et SMS spoofés depuis l'étranger passent toutefois encore, notamment via des passerelles VoIP internationales. L'efficacité du MAN progresse mais reste imparfaite.

Spoofing : définition, types (email, IP, SMS, DNS) et comment s'en protéger

Nature: Falsification d'identité technique
Formes principales: Email · téléphone · IP · DNS · ARP · GPS
Pourquoi possible: Protocoles historiques sans authentification native
Protections modernes: DMARC · MAN · DNSSEC · IPsec
Usage principal: Vecteur d'ingénierie sociale et de MITM

01 — DéfinitionQu'est-ce que le spoofing ?

Le spoofing désigne toute technique qui consiste à falsifier une donnée d'identification technique — adresse email, numéro de téléphone, adresse IP, enregistrement DNS, adresse MAC, signal GPS — pour se faire passer pour un tiers légitime auprès d'un système informatique ou d'un être humain.

Le spoofing n'est pas une attaque en soi, c'est une technique transverse qui alimente de nombreux types d'attaques. Un phishing crédible repose souvent sur du spoofing d'email ; un vishing efficace utilise du spoofing de numéro ; une attaque man-in-the-middle peut reposer sur du spoofing ARP ou DNS.

Pourquoi c'est possible ? Parce que la plupart des protocoles fondateurs d'internet et de la téléphonie datent des années 1970-1980 et ont été conçus dans un monde de confiance mutuelle entre acteurs connus. Ils n'imposent pas de preuve d'identité à l'émetteur. Les protocoles modernes qui corrigent cette faiblesse (DMARC pour l'email, DNSSEC pour le DNS, MAN pour la téléphonie) sont des ajouts récents et leur adoption reste inégale.

Sans authentification forte imposée par le protocole, la confiance dans l'identité affichée est toujours fragile. Le spoofing existe précisément dans ces zones grises où la vérification n'a pas été prévue ou n'a pas été déployée.

02 — EmailLe spoofing email

Historiquement le plus connu et le plus répandu. Le protocole SMTP n'impose aucune vérification de l'adresse expéditeur. N'importe qui avec un serveur SMTP peut, techniquement, envoyer un email prétendant venir de n'importe quelle adresse.

Trois types d'usurpation email

Usurpation exacte du domaine

L'attaquant envoie un email depuis une adresse parfaitement identique à la vraie — direction@votredomaine.fr par exemple. C'est ce que DMARC en mode reject bloque efficacement : sans authentification SPF ou DKIM valide, le serveur destinataire rejette le message.

Usurpation par domaine ressemblant

L'attaquant utilise un domaine proche mais distinct : direction@votre-domaine.fr, direction@votredomainee.fr, direction@votredomaine.co. Techniquement ce n'est pas de l'usurpation du vrai domaine — c'est du typosquatting. DMARC ne bloque pas ces variantes puisque ce sont d'autres domaines, qui peuvent eux-mêmes avoir un SPF/DKIM valides.

Usurpation du nom affiché (display name spoofing)

L'attaquant envoie depuis une adresse non-usurpée (la sienne, ou une boîte éphémère) mais configure le champ « De » pour afficher le nom d'un dirigeant. Beaucoup de clients email mobiles n'affichent que le nom, pas l'adresse complète. Résultat : la victime voit « Jean Dupont » et ne remarque pas que l'adresse est jean.dupont@gmail.com.

Protections

SPF, DKIM, DMARC — bloquent l'usurpation exacte.
Surveillance des domaines lookalikes — détecte le typosquatting.
Passerelle email avec détection d'impersonation — alerte sur les display name suspects.
Bannières « Email externe » automatiques pour les messages venant de l'extérieur.

03 — TéléphoneLe spoofing de numéro

Pendant longtemps, n'importe qui pouvait configurer le numéro affiché côté destinataire, via un standard VoIP ou un service en ligne. Résultat : un attaquant pouvait appeler en affichant le vrai numéro d'une banque, d'une administration, ou d'un collègue.

Le MAN — défense française

Le Mécanisme d'Authentification des Numéros est le dispositif imposé par l'Arcep, en déploiement progressif depuis 2023 :

Octobre 2023 : blocage du spoofing des numéros fixes français (01-05) par les opérateurs.
Octobre 2024 : extension aux numéros mobiles français (06-07).
Courant 2025 : durcissement des contrôles et sanctions des opérateurs non conformes.

Le MAN oblige chaque opérateur à vérifier qu'un numéro transmis en tête d'appel a bien été émis depuis son réseau. Les appels spoofés sont identifiés et bloqués avant d'atteindre le destinataire.

Limites

Le spoofing n'est pas complètement éliminé :

Les appels et SMS depuis l'étranger peuvent contourner le MAN, notamment via des passerelles VoIP en pays non coopératifs.
Les numéros étrangers eux-mêmes peuvent être spoofés et arriver en France.
Certaines configurations techniques laissent passer des spoofings partiels.

Usages malveillants

Vishing — faux conseiller bancaire, faux support Microsoft.
Smishing — faux SMS de livraison ou d'administration.
Appui à une fraude au président — l'attaquant appelle depuis le « numéro du PDG » pour confirmer un virement.
Harcèlement et arnaques grand public.

04 — DNSLe spoofing DNS (DNS poisoning)

Le DNS est le système qui traduit les noms de domaine (google.com) en adresses IP (142.250.185.46). Un attaquant qui parvient à falsifier cette traduction peut rediriger les utilisateurs vers un site malveillant tout en leur faisant croire qu'ils sont sur le bon site.

Variantes principales

Empoisonnement de cache DNS

L'attaquant injecte une fausse réponse dans le cache d'un résolveur DNS, qui servira ensuite cette fausse réponse à tous les utilisateurs qui l'utilisent. Attaque historique (Kaminsky 2008) largement corrigée depuis par la randomisation des ports UDP, mais encore possible contre des résolveurs mal configurés.

Spoofing local (rogue DNS)

L'attaquant force la victime à utiliser un résolveur DNS qu'il contrôle : compromission d'un routeur Wi-Fi, modification des paramètres réseau par malware, Wi-Fi public malveillant. Toutes les requêtes passent alors par le résolveur contrôlé.

Détournement BGP

Variante à l'échelle du routage internet. Un opérateur malveillant ou compromis annonce de fausses routes, détournant le trafic destiné à des serveurs DNS légitimes vers ses propres infrastructures.

Protections

DNSSEC — signature cryptographique des réponses DNS, rend le poisoning quasi impossible. Adoption encore partielle.
DoH / DoT (DNS over HTTPS / DNS over TLS) — chiffre les requêtes DNS, empêche l'interception et la modification en transit.
Résolveurs DNS de confiance (Cloudflare 1.1.1.1, Google 8.8.8.8, Quad9 9.9.9.9).
Surveillance BGP (RPKI, Mutually Agreed Norms for Routing Security).

05 — IPLe spoofing d'adresse IP

L'attaquant envoie des paquets réseau en falsifiant leur adresse source. Le protocole IP n'impose pas de vérification de l'émetteur.

Usages

Attaques par amplification

L'attaquant envoie une petite requête (ex. DNS ou NTP) en falsifiant l'adresse source comme étant celle de sa victime. Le serveur légitime répond avec un volume de données bien supérieur, qui est envoyé à la victime. Multiplié à grande échelle, c'est une attaque DDoS massive. Records mesurés : plusieurs térabits par seconde.

Contournement de filtrage

Certains systèmes acceptent des connexions uniquement depuis certaines plages IP (réseau interne par exemple). Spoofer une IP autorisée peut contourner le filtrage, surtout si le système ne vérifie pas la connexion TCP complète.

Anonymisation d'attaques

Dans certaines attaques où la réponse n'importe pas (UDP flood, certaines reconnaissances), le spoofing permet de masquer la véritable source.

Protections

Filtrage BCP 38 côté opérateur — un FAI ne devrait pas laisser sortir des paquets avec une adresse source qui n'est pas sur son réseau.
TCP et connexions stateful — une attaque TCP exige un handshake complet, ce qui rend le spoofing beaucoup plus difficile.
IPsec, TLS — authentification cryptographique au-dessus du protocole IP.

06 — AutresLes autres formes de spoofing

ARP spoofing

Sur un réseau local, l'attaquant fait croire aux autres machines qu'il est la passerelle. Permet de faire du man-in-the-middle : tout le trafic passe par l'attaquant, qui peut le lire, le modifier ou le bloquer. Défense : port security, DHCP snooping, Dynamic ARP Inspection.

MAC spoofing

L'attaquant modifie l'adresse MAC de sa carte réseau pour contourner un filtrage (Wi-Fi qui autorise seulement certaines adresses) ou usurper l'identité d'un appareil. Trivial techniquement.

GPS spoofing

L'attaquant émet de faux signaux GPS pour tromper la géolocalisation d'un récepteur. Usages : détournement de drones, contournement de géorestrictions, désorientation de navires. Menace étatique documentée (guerre d'Ukraine, Golfe persique).

Website spoofing

Création d'un site qui imite un site légitime — design, logos, URL ressemblante. Sert de cible finale pour la plupart des phishings. Voir typosquatting pour le versant spécifique des domaines ressemblants.

Caller ID spoofing des SMS

Certains services de SMS en masse permettent de choisir le nom d'expéditeur affiché (Sender ID) : « Ameli », « Colissimo », « Banque ». Utilisé pour du smishing convaincant. Le MAN ne couvre pas complètement ce cas pour l'instant.

07 — DéfenseComment se protéger du spoofing

Contre le spoofing email

DMARC en mode reject sur tous les domaines d'entreprise.
SPF et DKIM correctement configurés sur tous les services d'envoi.
Surveillance des domaines lookalikes via des services spécialisés.
Passerelle email avec détection d'impersonation (display name, patterns BEC).
Bannières automatiques « email externe » dans Outlook/Gmail.

Contre le spoofing téléphonique

Règle absolue : raccrocher et rappeler sur un numéro officiel connu avant toute action sensible.
Applications de filtrage (Orange Téléphone, Truecaller, filtres iOS).
Sensibilisation des profils exposés (direction, finance) aux scénarios vishing.
Pour les helpdesks IT : procédure stricte de vérification d'identité avant toute réinitialisation.

Contre le spoofing DNS

Utiliser des résolveurs DNS de confiance (1.1.1.1, 8.8.8.8, 9.9.9.9).
Activer DoH ou DoT dans les navigateurs.
DNSSEC sur vos propres domaines pour protéger vos utilisateurs.
Sur réseau d'entreprise : résolveur DNS interne validé, blocage des autres.

Contre le spoofing réseau

Segmentation réseau, Port Security, DHCP snooping, Dynamic ARP Inspection.
Authentification 802.1X sur les ports d'accès.
Wi-Fi professionnel en WPA3 Enterprise.
VPN ou ZTNA pour les connexions distantes.

Défense humaine transversale

Règle d'or universelle : pour toute action sensible, toujours vérifier via un canal alternatif, jamais dans le même canal que la demande initiale.
Formation régulière aux différents types de spoofing (email, SMS, téléphone).
Simulations périodiques pour entraîner le réflexe.
Culture de la vérification valorisée, jamais sanctionnée même en cas de faux positif.
Authentification forte FIDO2 — résiste au spoofing parce qu'elle vérifie cryptographiquement le domaine.

08 — FAQQuestions fréquentes

Peut-on porter plainte contre un spoofing ?

Oui. L'usurpation d'identité est un délit (article 226-4-1 du Code pénal, 1 an de prison et 15 000 € d'amende). Si le spoofing sert à commettre une autre infraction (escroquerie, accès frauduleux à un STAD), celles-ci se cumulent. La plainte est indispensable pour déclencher enquête et remboursement éventuel.

Qui est responsable juridiquement ?

L'auteur du spoofing, quand il est identifié. L'opérateur qui a laissé passer le spoofing peut être tenu pour partiellement responsable s'il n'a pas respecté ses obligations réglementaires (MAN pour la téléphonie, bonnes pratiques DMARC pour l'email). La victime n'est en principe pas responsable, sauf faute lourde prouvée.

Mon domaine peut-il être spoofé sans que je le sache ?

Oui, tant que vous n'avez pas activé DMARC avec des rapports. Sans DMARC, vous n'avez aucune visibilité sur les tentatives d'usurpation de votre domaine. Activez au minimum p=none avec rapports rua pour découvrir qui essaie d'envoyer en votre nom. Puis durcissez progressivement vers quarantine et reject.

Le spoofing est-il détecté par les antivirus ?

Non. Les antivirus analysent les fichiers et les comportements locaux sur un endpoint. Le spoofing se produit au niveau du protocole, en amont. Les protections contre le spoofing sont réseau, email, téléphone — pas antivirus.

FIDO2 résiste-t-il au spoofing ?

Oui, et c'est sa propriété la plus remarquable. Un authentificateur FIDO2 vérifie cryptographiquement le domaine avant de signer. Si un site de phishing usurpe visuellement le vrai, mais que le domaine ne correspond pas, l'authentificateur refuse. C'est pourquoi FIDO2 est considéré comme la seule technologie d'authentification structurellement résistante au phishing par spoofing.