Vous avez reçu un email signé « Société Générale – Global Transaction Banking » vous demandant de « confirmer votre appareil principal » suite à une mise à jour de sécurité entre le 12 et le 19 mai ? C’est une arnaque. C’est aussi l’une des plus sophistiquées de la série : elle passe les filtres d’authentification email standard et utilise un lien Twitter comme relais pour masquer sa destination réelle.
Est-ce que cet email de la Société Générale est une arnaque ?
Oui. L’expéditeur affiché est SG Pro <support@relaxdiffusionemoda.com>, un domaine sans aucun lien avec la Société Générale. Le bouton « Confirmer l’appareil » redirige vers t.co (Twitter) puis vers mailinfra-1.onderwegnaarjapan.nl, un domaine néerlandais signifiant littéralement « en route vers le Japon », là encore sans lien avec la banque.
La Société Générale envoie ses emails depuis des domaines en @societegenerale.fr ou @sg.fr exclusivement.
Pourquoi cet email est-il particulièrement dangereux ?
C’est le seul email de cette série à passer à la fois le SPF et le DKIM, les deux mécanismes d’authentification email de référence. Concrètement, cela signifie que les filtres antispam classiques ne le bloquent pas sur critères techniques : il arrive en boîte de réception, pas en spam, avec une apparence d’email authentifié.
L’explication est que les escrocs ont configuré leur propre domaine relaxdiffusionemoda.com avec des enregistrements SPF et DKIM valides. Le domaine est légitime techniquement, même s’il n’a aucun lien avec la Société Générale. C’est une technique de plus en plus répandue : plutôt que d’usurper un domaine existant (ce que les filtres détectent), les attaquants créent leurs propres domaines d’apparence anodine et les configurent correctement.
L’email est envoyé via PowerMTA, un logiciel professionnel de routage d’emails de masse utilisé par des entreprises légitimes, ce qui améliore encore la délivrabilité et réduit le score de spam.
Comment fonctionne le lien de redirection ?
Le bouton « Confirmer l’appareil » pointe vers https://t.co/Tw0Jda03tn, un lien raccourci via Twitter/X. Ce choix n’est pas anodin : les liens t.co sont rarement bloqués par les filtres antispam car Twitter est une plateforme de confiance mondiale. C’est la même technique que l’utilisation de Google Sites observée dans la campagne Notaires de France : exploiter la réputation d’un service légitime comme premier relais.
La redirection finale arrive sur mailinfra-1.onderwegnaarjapan.nl/activation?token=SG20260516TR26. Le token intégré dans l’URL est un identifiant de campagne : SG pour Société Générale, 20260516 pour la date de lancement, TR pour tracking. Cette structure permet aux attaquants de suivre précisément quelles adresses email ont cliqué et quand.
Quels sont les signaux qui trahissent cet email ?
Malgré sa sophistication technique, plusieurs indices visibles permettent de l’identifier sans analyser les headers.
L’adresse de l’expéditeur. support@relaxdiffusionemoda.com n’a aucun lien avec la Société Générale. En affichant l’adresse complète dans votre client mail, le domaine ne correspond pas à societegenerale.fr ou sg.fr.
L’absence de personnalisation. L’email s’adresse à « Cher Client » sans prénom, sans numéro de compte, sans agence. Votre banque vous connaît et personnalise ses communications.
La contradiction interne. Le pied de page de l’email contient lui-même l’avertissement suivant : « Société Générale ne demandera jamais vos informations confidentielles via un lien direct ou un message électronique. » Les escrocs ont copié les mentions légales officielles de la banque sans réaliser qu’elles contredisent l’objet même de l’email.
Le prétexte générique. « Des améliorations techniques entre le 12 et le 19 mai » est un prétexte vague et non vérifiable, conçu pour sembler crédible sans pouvoir être contredit.
Comment vérifier si votre compte Société Générale requiert vraiment une action ?
Connectez-vous directement sur particuliers.societegenerale.fr en tapant l’adresse manuellement dans votre navigateur. Si une action est réellement requise sur votre compte, elle apparaîtra dans votre espace client, sous forme de notification ou de message dans votre messagerie sécurisée interne. Vous pouvez également appeler le service client au numéro figurant au dos de votre carte bancaire.
Ne cliquez jamais sur le bouton d’un email bancaire pour accéder à votre espace client. Tapez toujours l’adresse directement. C’est la règle la plus efficace et la plus simple à appliquer, indépendamment de la sophistication de l’email reçu.
Que faire si vous avez cliqué et saisi vos identifiants ?
Si vous avez cliqué sur « Confirmer l’appareil » et renseigné vos identifiants bancaires sur la page ouverte, appelez immédiatement la Société Générale pour signaler la compromission de vos accès et faire bloquer votre espace en ligne. Vérifiez vos dernières opérations pour détecter tout mouvement suspect.
Changez également le mot de passe de votre adresse email principale, car les attaquants tentent souvent d’accéder à la boîte mail associée au compte bancaire dans un second temps pour intercepter les notifications. Notre guide sur que faire si votre email a été compromis détaille les étapes à suivre. Activez la double authentification sur votre messagerie si ce n’est pas encore fait.
Signalez l’email sur Signal Spam et déposez une déclaration sur Cybermalveillance.gouv.fr. Si vous avez subi un préjudice financier, déposez plainte auprès de la police ou de la gendarmerie.
Pourquoi les banques sont-elles la cible favorite du phishing ?
Les banques concentrent ce que les attaquants cherchent : des identifiants donnant accès à des comptes avec des fonds disponibles et la capacité d’initier des virements. Un kit de phishing bancaire bien construit peut générer des gains immédiats, contrairement au vol d’identifiants email qui nécessite des étapes supplémentaires.
La Société Générale n’est pas un cas isolé. BNP Paribas, le CIC, le Crédit Agricole et La Banque Postale font l’objet de campagnes similaires en permanence, comme illustré dans notre article sur le phishing CIC. Pour renforcer votre protection globale, consultez nos règles d’hygiène numérique et pensez à mieux protéger votre adresse email pour limiter votre exposition à ce type de campagne.
Questions fréquentes
Vérifiez l’adresse complète de l’expéditeur : la Société Générale envoie ses emails depuis @societegenerale.fr ou @sg.fr uniquement. Méfiez-vous de tout email vous demandant de ‘confirmer votre appareil’ ou de ‘valider votre accès’ via un lien : connectez-vous toujours directement sur particuliers.societegenerale.fr en tapant l’adresse manuellement.
Oui. SPF et DKIM vérifient que l’email a été envoyé depuis un serveur autorisé pour le domaine expéditeur, mais ils ne vérifient pas que ce domaine a un lien avec l’organisation imitée. Un attaquant qui crée son propre domaine et le configure correctement peut passer ces deux vérifications tout en usurpant l’identité visuelle d’une banque.
Les liens t.co (raccourcisseur de Twitter/X) sont rarement bloqués par les filtres antispam car Twitter est considéré comme un service de confiance. Cela permet aux attaquants de masquer la destination réelle du lien tout en contournant les listes noires. La destination finale est un domaine malveillant qui ne serait pas passé directement.
Laisser un commentaire