10.02.2026 - Au cours de la semaine écoulée, l’OFCS a reçu un nombre accru de signalements concernant un phénomène qui, à première vue, ressemble à du spam massif, mais qui constitue en réalité une manœuvre de diversion ciblée de la part de cybercriminels : Le « Subscription Bombing ».
Imaginez recevoir, en l’espace de quelques minutes, des centaines voire des milliers d’e-mails de confirmation, par exemple pour des inscriptions à des newsletters provenant de sites web du monde entier. L’objectif de cette attaque n’est pas de vous importuner : les attaquants exploitent ce flot d’e-mails pour dissimuler un seul message critique. Dans la plupart des cas, les auteurs ont déjà obtenu l’accès à un compte de la victime (par exemple à l’e-banking ou à des boutiques en ligne) et y ont déclenché une transaction. L’alerte de sécurité ou l’e-mail de confirmation du service concerné se perd alors dans la masse du « Bombing » et passe inaperçu aux yeux de la victime.
Pourquoi les filtres traditionnels ne suffisent pas
Pour les administrateurs, le « Subscription Bombing » représente un défi particulier. Les e-mails proviennent de serveurs légitimes répartis dans le monde entier, ce qui fait que les listes noires et les filtres anti-spam classiques sont souvent inefficaces.
- Légitimité via « SPF », « DKIM » et « DMARC »
Les attaquants exploitent de véritables formulaires web d’entreprises sérieuses. Comme ces entreprises ont correctement configuré leurs serveurs de messagerie à l’aide de SPF (Sender Policy Framework) et de DKIM (DomainKeys Identified Mail), les filtres anti-spam considèrent les messages comme légitimes. Un filtrage strict entraînerait en outre le blocage de notifications système pourtant souhaitées.
- Problématique du « backscatter »
Dans certains cas, le « bombing » est généré par des messages d’erreur (appelés Non-Delivery Reports) lorsque les auteurs usurpent l’adresse e-mail de la victime comme adresse d’expéditeur. Une politique DMARC stricte (p=reject) pour son propre domaine permet de limiter l’usurpation de son identité — sans toutefois pouvoir l’empêcher complètement.
Les adresses e-mail ne doivent pas apparaître en clair
Un élément central de la planification de ces attaques est la disponibilité facile des adresses cibles. L’OFCS constate que les adresses sont souvent collectées par scraping automatisé de sites web d’entreprises.
- Pas d’adresses e-mail en clair : Les adresses e-mail ne devraient jamais apparaître en clair sur les sites web. Les bots peuvent les extraire automatiquement.
- Mesures de protection : Utilisez des captchas dans les formulaires de contact afin de vérifier qu’un utilisateur en ligne est bien un humain et non un bot, ou masquez les adresses e-mail dans le code source à l’aide de JavaScript ou de techniques d’obfuscation afin de compliquer leur collecte automatisée.
Recommandations pour les personnes concernées
Si vous êtes confronté à un afflux soudain d’e-mails :
- Ne supprimez pas tout dans la panique. Recherchez d’abord de manière ciblée des termes comme « mot de passe », « paiement », « commande » ou « sécurité » afin de repérer d’éventuelles alertes dissimulées.
- Vérifiez immédiatement vos comptes les plus importants (e-banking, cartes de crédit) pour détecter toute activité suspecte. Le cas échéant, contactez les prestataires concernés et modifiez vos mots de passe.
- Ne répondez pas aux e-mails de spam.
Recommandations pour les exploitants de sites web
Empêchez que votre propre site web ne devienne un outil au service de telles attaques :
- Protégez tous les formulaires web (inscriptions à des newsletters, formulaires de contact) à l’aide de solutions telles que « reCAPTCHA » ou « hCaptcha ».
- Limitez le nombre d’inscriptions ou de prises de contact par adresse IP et par intervalle de temps.
- N’envoyez des e-mails de confirmation qu’après une vérification Captcha réussie.
Statistiques et chiffres actuels
Les annonces de la dernière semaine selon les catégories sont publiées sous:
Dernière modification 10.02.2026
