Defaults.Exposed

Defaults.ExposedCorrectionsGuides

Cette histoire de fraude à la facture que vous avez entendue — pourrait-elle arriver à votre entreprise ? Découvrez-le en deux minutes (2026)

Publié 2026-07-08

Chiffres au 2026-06-29 · méthodologie v7. Données de recensement agrégées sur 261 millions de domaines évalués — nous ne publions jamais les résultats d’un domaine individuel. Voir comment nous notons.

Très probablement, oui — et vous pouvez en avoir la certitude en environ deux minutes, gratuitement. 89,41 % des 261 086 232 domaines évalués dans le recensement Defaults.Exposed (au 2026-06-29) pourraient être usurpés de la façon décrite dans cette histoire, parce qu’un réglage gratuit qui bloque cela n’a jamais été activé. La vérification indique si le vôtre en fait partie.

En clair, cette page couvre : ce qui s’est passé dans l’histoire que vous avez entendue, pourquoi c’était possible, la vérification gratuite de deux minutes, et une note à copier et envoyer — rapport joint — à la personne qui s’occupe de votre informatique.

Que s’est-il vraiment passé dans cette histoire ?

Les détails varient, mais le schéma est presque toujours le même. Un criminel envoie une facture qui, aux yeux de tout lecteur normal, semble venir exactement de l’adresse e-mail d’une véritable entreprise — même nom, même adresse après le @, un montant plausible. Un client la paie, l’argent est transféré ailleurs en quelques heures, et l’entreprise dont le nom figurait sur l’e-mail — qui n’a rien fait de mal et n’était au courant de rien — reçoit l’appel furieux et la relation abîmée.

Remarquez ce qui manque dans cette histoire : personne n’a été piraté. Le criminel n’a jamais touché aux systèmes de l’entreprise.

Comment quelqu’un peut-il envoyer un e-mail qui semble venir de mon entreprise ?

Parce que l’e-mail fonctionne encore comme il y a des décennies : la ligne « from » (expéditeur) est comme l’adresse de retour sur une enveloppe — n’importe qui peut y écrire n’importe quoi. À moins que votre domaine n’indique le contraire, un système de messagerie destinataire n’a aucun moyen de savoir si « un e-mail de votre entreprise » vient réellement de vous.

Il existe des réglages gratuits — de courtes lignes de texte publiées à côté de votre nom de domaine — qui indiquent au monde : les e-mails authentiques venant de nous proviennent uniquement de ces endroits ; refusez tout le reste comme faux. Activés et appliqués, la facture de l’histoire est rejetée avant qu’un humain ne la voie. Désactivés, elle atterrit dans la boîte de réception, l’air parfaitement authentique.

La plupart des entreprises ne les ont jamais activés — personne ne leur a jamais dit que ces réglages existaient. Sur les 261 086 232 domaines évalués dans le recensement Defaults.Exposed (au 2026-06-29), 89,41 % n’ont pas appliqué le réglage qui bloque l’usurpation, et 46,4 % n’ont même jamais fait le premier pas. Dans cette majorité, vous n’êtes pas négligent — vous êtes normal. Mais vous êtes vérifiable, et le correctif aussi. (Explication plus détaillée : quelqu’un peut-il usurper mon domaine ?)

Comment savoir en deux minutes si cela pourrait nous arriver ?

  1. Lancez le scan gratuit sur defaults.exposed. Saisissez votre domaine — la partie de votre adresse e-mail après le @. Pas d’inscription, pas de carte bancaire ; il ne lit que les réglages publics et ne touche jamais à vos systèmes.
  2. Lisez la note. Un A signifie que les e-mails falsifiés portant votre nom sont refusés par les systèmes de messagerie destinataires. Tout ce qui est en dessous d’un A signifie que la porte est ouverte, à des degrés divers.
  3. Conservez le rapport. Il est daté, en langage clair, et liste ce qui est en place et ce qui manque.
  4. Transmettez-le — section suivante.

Où en sont réellement les entreprises :

Où en sont les domainesPart des 261 086 232 domaines évalués (au 2026-06-29)Ce que cela signifie pour l’histoire
Usurpation non bloquée — le réglage d’application jamais activé89,41 %L’histoire pourrait se produire demain avec leur nom sur la facture
N’a même jamais fait le premier pas46,4 %Les systèmes de messagerie destinataires ne savent rien de ce à quoi ressemble un e-mail authentique venant d’eux
Protégés — les faux sont refusésenviron un domaine sur dixLa fausse facture rebondit avant que quiconque ne puisse la payer

Que dois-je faire du résultat ?

Transmettez le rapport à la personne qui s’occupe de votre informatique — celle qui a configuré votre messagerie, ou celle que vous appelleriez en cas de panne. Vous n’avez pas besoin de comprendre le contenu ; c’est à elle de le comprendre. Copiez et envoyez ceci avec :

Bonjour — après avoir entendu parler d’un cas de fraude à la facture qui circule, j’ai lancé une vérification gratuite de notre domaine sur defaults.exposed. Le rapport est joint. Pourriez-vous regarder les réglages e-mail qu’il signale et me dire ce qu’il faut faire pour arriver à un A ? Je comprends qu’il s’agit de configuration plutôt que de nouveau logiciel — à peu près un après-midi de travail. Je suis d’accord pour approuver ce temps. Merci.

Quand elle l’ouvrira, les mots qu’elle emploiera seront SPF, DKIM et DMARC — le dernier (Domain-based Message Authentication, Reporting and Conformance) est le réglage qui indique aux systèmes de messagerie du monde entier de refuser les faux portant votre nom. Le rapport montre lesquels des trois votre domaine possède et renvoie vers des instructions pas à pas, à commencer par comment corriger DMARC. C’est délibérément le langage de votre personne informatique.

Si vous n’avez personne pour l’informatique, le rapport vous dit exactement quoi demander. Apportez-le à celui qui a enregistré votre domaine ou héberge votre messagerie — son support technique gère ces réglages tous les jours — et demandez ce que le rapport liste comme manquant.

Est-ce que ce sera coûteux à corriger ?

Non — et c’est la partie honnête, pas la partie commerciale. Les réglages sont gratuits : des lignes de texte dans la configuration de votre domaine, pas un logiciel, pas un abonnement. Pour une personne informatique compétente, amener une petite entreprise type à un A représente un après-midi de travail — le soin consiste à lister d’abord tous les expéditeurs légitimes (fournisseur de messagerie, outil de newsletter, système de facturation) pour que le courrier réel continue de circuler une fois l’application activée. La barrière n’a jamais été l’argent ; c’est que personne ne vous l’a dit.

Questions fréquentes

Est-ce la même chose qu’être piraté ? Non. Rien n’a été forcé — pas de mot de passe volé, pas de virus, personne à l’intérieur de vos systèmes. Le criminel écrit votre nom sur l’enveloppe et la poste depuis ailleurs : de la contrefaçon, pas un cambriolage. C’est aussi pour cela que les antivirus et pare-feu ne le détectent jamais — il n’y a rien à voir de votre côté pour eux. Les réglages manquants sont la seule chose qui l’arrête, et 89,41 % des 261 086 232 domaines que nous avons évalués (au 2026-06-29) y sont exposés.

La correction coûtera-t-elle de l’argent ? Les réglages sont gratuits ; payer quelqu’un pour les configurer soigneusement représente un après-midi de travail. Sachant que 46,4 % des domaines évalués n’ont même jamais fait le premier pas gratuit (recensement au 2026-06-29), c’est l’une des réductions de risque réelles les moins chères qu’une entreprise puisse s’offrir.

Comment saurais-je si c’est déjà en train d’arriver ? En général, vous ne le sauriez pas — jusqu’à ce qu’un client appelle au sujet d’une facture que vous n’avez jamais envoyée. L’entreprise usurpée est généralement la dernière informée ; la vérification de deux minutes est plus rapide que d’attendre cet appel. Si l’appel est déjà arrivé, allez directement au guide d’urgence : quelqu’un envoie des e-mails depuis votre domaine.

Et l’ancien domaine de notre changement de marque — celui que nous possédons toujours mais que nous n’utilisons plus ? Vérifiez-le aussi. Un domaine qui n’envoie aucun e-mail peut quand même être usurpé s’il n’a jamais été verrouillé — et personne ne le surveille : ce vieux domaine de votre changement de marque est une porte laissée ouverte.

Transmettez ceci à la personne qui s’occupe de votre informatique

C’est toute l’action que demande cette page : lancez la vérification gratuite, puis transmettez le rapport avec la note ci-dessus. Deux minutes pour la vérification, une pour l’e-mail — et la peur du mardi matin devient un document daté et un après-midi de travail réservé chez quelqu’un d’autre. Conservez le rapport : c’est la même preuve qui répond à la question de sécurité e-mail qui apparaît désormais sur les formulaires de renouvellement de cyberassurance.

Vérifiez votre domaine → · Quelqu’un envoie des e-mails depuis votre domaine → · Quelqu’un peut-il usurper mon domaine ? → · Données agrégées uniquement. Données stockées et traitées dans l’UE.