Email « Notaires de France » vous avez reçu une facture : pourquoi c’est une arnaque

Vous avez reçu un email intitulé « Vous avez reçu une facture de… » signé « Notaires de France », vous invitant à télécharger un fichier nommé Document-important.pdf ? C’est une arnaque. Elle est particulièrement bien construite et les identifiants saisis sur la fausse page partent en temps réel vers les escrocs via un bot Telegram. Voici comment elle fonctionne et quoi faire.

Est-ce que cet email des Notaires de France est une arnaque ?

Oui, sans ambiguïté. L’email ne provient pas des Notaires de France. L’expéditeur affiché est lesnotaires@noreply.fr, mais le vrai expéditeur technique est www-data@managergram.com.com, un domaine avec un double .com.com caractéristique des domaines jetables montés rapidement pour des campagnes frauduleuses. Le SPF échoue : le serveur d’envoi n’est pas autorisé à envoyer au nom de noreply.fr.

Gmail l’a d’ailleurs détecté et affiche une bannière rouge d’avertissement dès l’ouverture : « Ce message semble être dangereux. »

Comment fonctionne cette arnaque étape par étape ?

Ce qui distingue cette campagne des arnaques classiques, c’est la sophistication de son infrastructure. Elle utilise plusieurs services légitimes comme relais pour contourner les filtres de sécurité.

Étape 1 : l’email initial. Le message imite la charte graphique des Notaires de France avec le logo officiel, une mise en page sobre et professionnelle, et cite un fichier Document-important.pdf de 2,4 Mo prétendument envoyé par une adresse masquée. L’objet « Vous avez reçu une facture de… » est volontairement tronqué pour susciter la curiosité.

Étape 2 : Google Sites comme premier relais. Le bouton « Télécharger votre fichier » pointe vers une page hébergée sur sites.google.com, le service de création de sites gratuits de Google. C’est un choix délibéré : les liens Google sont rarement bloqués par les filtres antispam, ce qui permet à l’email de passer. La page affiche une interface générique de transfert de fichiers.

Étape 3 : la fausse page de connexion. Un clic supplémentaire redirige vers erttt-13c226c.ingress-alpha.ewp.live, un hébergement temporaire qui affiche une fausse page de connexion aux couleurs des Notaires de France. Le formulaire demande une adresse email et un mot de passe pour « accéder au document ». En arrière-plan, des faux documents notariaux floutés créent une illusion de légitimité.

Étape 4 : l’exfiltration en temps réel via Telegram. C’est le point le plus révélateur techniquement. Dès que vous soumettez le formulaire, vos identifiants sont envoyés instantanément à un bot Telegram nommé Sous2026bot, dans un groupe privé appelé « Factor2k26 ». Le message reçu par les escrocs contient votre email, votre mot de passe, votre adresse IP et le numéro de tentative. Après soumission, vous êtes redirigé vers google.com pour ne pas éveiller les soupçons.

L’utilisation de Telegram comme canal d’exfiltration est de plus en plus fréquente dans les kits de phishing : c’est rapide, chiffré, difficile à bloquer et accessible depuis n’importe quel appareil.

Pourquoi cette arnaque est-elle dangereuse au-delà du document ?

L’objectif principal n’est pas de vous soutirer de l’argent directement, mais de récupérer une combinaison email et mot de passe. Si vous utilisez le même mot de passe sur plusieurs services (messagerie, banque, réseaux sociaux), les escrocs peuvent enchaîner les tentatives de connexion sur d’autres plateformes. C’est ce qu’on appelle le credential stuffing.

C’est pourquoi utiliser un mot de passe unique par service est une règle fondamentale d’hygiène numérique. Un gestionnaire de mots de passe permet de générer et stocker des mots de passe uniques sans avoir à les mémoriser. Et activer la double authentification sur vos comptes importants rend le mot de passe volé inutilisable seul.

Comment vérifier si cet email est légitime ?

Les Notaires de France disposent d’une plateforme officielle de transfert de fichiers, mais elle ne fonctionne pas par email non sollicité avec un fichier générique nommé Document-important.pdf. Un vrai document notarial vous est transmis dans un cadre que vous connaissez : une succession, une vente immobilière, un mandat. Vous savez pourquoi vous attendez un document.

Si vous n’attendez aucun document d’un notaire, la réponse est simple : ignorez et supprimez. Si vous avez un doute, appelez directement l’étude notariale concernée, dont le numéro se trouve sur vos courriers officiels ou sur l’annuaire des notaires disponible sur notaires.fr.

Que faire si vous avez saisi vos identifiants ?

Si vous avez entré une adresse email et un mot de passe sur la fausse page, considérez ces identifiants comme compromis et agissez immédiatement.

Changez le mot de passe du compte email concerné en priorité, depuis l’application ou le site officiel de votre messagerie, sans passer par aucun lien reçu par email. Vérifiez ensuite si vous utilisez ce même mot de passe sur d’autres services et changez-les également. Consultez notre guide sur que faire si votre email a été compromis pour les étapes complètes de récupération.

Activez la double authentification sur votre messagerie si ce n’est pas encore fait : même avec votre mot de passe, un attaquant ne pourra pas accéder à votre compte sans le second facteur.

Signalez l’email sur Signal Spam et, si vous avez subi un préjudice, sur Cybermalveillance.gouv.fr.

---

Questions fréquentes