Vous avez reçu un email intitulé « Only 1 Day Left to Prevent Deletion » ou « Failure with the payment attempt during the renewal of your Cloud storage subscription » ? Il vous menace de supprimer toutes vos données dans les 12 heures si vous ne mettez pas à jour votre moyen de paiement. C’est une arnaque. Voici comment la reconnaître et quoi faire.
Est-ce que cet email « cloud storage » est une arnaque ?
Oui, sans exception. Aucun service de stockage cloud légitime (Google One, iCloud, OneDrive, Dropbox) n’envoie des emails depuis des domaines aléatoires comme mentbufidendebakoa.com. Cette campagne circule activement en 2026 et cible indistinctement les utilisateurs francophones et anglophones.
Le premier réflexe est de regarder l’adresse de l’expéditeur. Dans les cas documentés, elle ressemble à arafdslqnt@mentbufidendebakoa.com : une suite de caractères aléatoires sur un domaine inconnu. Google, Apple et Microsoft envoient leurs emails depuis @google.com, @apple.com ou @microsoft.com. Tout autre domaine est un signal d’alerte immédiat.
Pourquoi cet email est-il particulièrement trompeur ?
Plusieurs éléments sont conçus pour vous faire agir vite sans réfléchir.
L’objet de l’email utilise des emojis 🚨 de chaque côté et une deadline précise (« 05-20-2026 + 12hours ») pour créer une pression artificielle. La mise en page imite vaguement les codes visuels de Google ou Apple avec un bouton bleu et un logo générique « Cloud Storage Upgrade ». Le message mélange même les deux univers dans le même email : il parle d’un générique « Cloud Storage » puis cite Apple et ses serveurs dans le paragraphe suivant, sans jamais nommer un service précis.
C’est justement cette imprécision qui trahit l’arnaque. Un vrai email de Google One cite « Google One ». Un vrai email d’iCloud cite « iCloud ». Un email qui parle de « Cloud Storage » sans autre précision ne vient d’aucun service réel.
L’expéditeur est également présenté comme « Cloud Storage Alert » avec la mention « envoyé par Trusted Sender » dans certains clients mail, une technique pour contourner les filtres antispam en exploitant des services de routage d’emails légitimes compromis.
Où mènent les liens de cet email ?
Le bouton « Update my payment » pointe vers un sous-domaine aléatoire comme hzpbgbyxcszdoggjnrrfv.kalbanoura.store, signalé « Not Secure » directement par Chrome, ce qui signifie que le site ne dispose même pas d’un certificat HTTPS valide. Une page de paiement légitime n’existe pas sans HTTPS.
La redirection finale passe par un lien de tracking du type trk.rubber-additional-beautiful-cow.run, un domaine généré aléatoirement utilisé pour masquer la destination réelle et contourner les listes noires. L’objectif final est une page de collecte de coordonnées bancaires sous prétexte de renouveler un abonnement.
Dans le cas documenté ici, le site malveillant était déjà hors ligne au moment du test, ce qui est fréquent : ces campagnes utilisent des domaines jetables, actifs quelques jours puis abandonnés pour en lancer de nouveaux.
Comment vérifier si votre stockage cloud est vraiment plein ?
Ne passez jamais par les liens d’un email suspect. Vérifiez directement depuis votre appareil ou votre navigateur :
Pour iCloud : sur iPhone, allez dans Réglages > votre prénom > iCloud. Sur Mac ou PC, connectez-vous sur icloud.com. Votre espace utilisé est affiché sur la page d’accueil.
Pour Google One : connectez-vous sur one.google.com ou consultez drive.google.com. L’espace disponible est visible en bas à gauche.
Pour OneDrive : connectez-vous sur onedrive.live.com. L’espace est affiché en bas de la barre latérale.
Si votre stockage est réellement plein, vous le verrez ici, avec un message officiel et un lien vers les offres du service concerné, pas vers un domaine inconnu.
Que faire si vous avez cliqué ?
Si vous avez cliqué sur le lien mais n’avez rien saisi, le risque est limité. Fermez la page et ne retournez pas sur le lien.
Si vous avez renseigné des coordonnées bancaires sur la page ouverte, appelez votre banque sans attendre pour faire opposition. En France, tout débit frauduleux sur carte est remboursable sous conditions, à condition de le signaler rapidement.
Dans tous les cas, signalez l’email sur Signal Spam et, si vous êtes victime, sur Cybermalveillance.gouv.fr.
Questions fréquentes
Vérifiez l’adresse de l’expéditeur : Google, Apple et Microsoft utilisent uniquement leurs propres domaines (@google.com, @apple.com, @microsoft.com). Un email venant d’un domaine inconnu est une arnaque. Vérifiez ensuite l’état de votre stockage directement sur le site officiel du service, sans passer par les liens de l’email.
Non. Si vous recevez cet email, vos données ne sont pas en danger. Vérifiez l’état réel de votre stockage en vous connectant directement sur icloud.com, one.google.com ou onedrive.live.com. Si votre espace est réellement plein, le service vous le notifiera depuis son application officielle ou une adresse email vérifiable.
Appelez votre banque immédiatement pour faire opposition sur votre carte. En France, les débits frauduleux sur carte sont remboursables si vous les signalez rapidement. Déposez ensuite plainte auprès de la police ou de la gendarmerie, et signalez l’arnaque sur Cybermalveillance.gouv.fr.
Laisser un commentaire