Safecode

email OVH renouvellement domaine arnaque

Email OVHcloud « Renouvelez votre nom de domaine » : arnaque ou réel ?

/

Hugo Lefebvre

Vous avez reçu un email signé « OVHcloud » vous avertissant que votre nom de domaine va être supprimé définitivement sous 3 jours s’il n’est pas renouvelé immédiatement ? Méfiez-vous. Cette campagne usurpe l’identité de l’hébergeur français OVHcloud avec une astuce particulièrement bien pensée. Voici comment vérifier et quoi faire.

Est-ce que cet email OVHcloud est une arnaque ?

Dans le cas documenté ici, oui. L’email reprend fidèlement la charte graphique d’OVHcloud (logo, bleu caractéristique, mise en page) et affiche votre véritable nom de domaine, ce qui le rend crédible. Mais l’expéditeur réel trahit la fraude : l’adresse est support@mydomain.ovh, et le SPF échoue, ce qui signifie que le serveur d’envoi n’est pas autorisé à expédier des emails pour ce domaine.

Le bouton « Renouveler mon service » pointe par ailleurs vers vimeu.test-app.link, un lien de redirection sans aucun rapport avec OVHcloud.

Quelle est l’astuce qui rend cette arnaque si crédible ?

L’élément central de cette campagne est l’adresse expéditeur : support@mydomain.ovh. L’extension .ovh est une vraie extension de nom de domaine, gérée par OVHcloud. Les escrocs ont simplement enregistré un nom de domaine se terminant par .ovh (ici mydomain.ovh), ce qui leur permet d’afficher « ovh » dans leur adresse email.

Le résultat est trompeur : un destinataire pressé voit « ovh » dans l’adresse et en conclut que l’email provient bien d’OVHcloud. C’est une confusion volontaire entre l’extension .ovh (que n’importe qui peut acheter) et le domaine officiel ovh.com (qui seul appartient à l’entreprise).

Pour être clair : support@ovh.com serait potentiellement légitime, support@mydomain.ovh ne l’est pas. L’extension après le point final ne garantit jamais l’identité de l’expéditeur. C’est une forme de typosquatting appliquée à l’extension du domaine plutôt qu’à son nom.

Quels autres signaux trahissent cet email ?

Plusieurs indices confirment la fraude au-delà de l’adresse expéditeur.

L’urgence et la menace de suppression définitive. « Sans paiement sous 3 jours, votre nom de domaine sera définitivement supprimé. » OVHcloud n’agit jamais ainsi : un nom de domaine non renouvelé passe par une période de rédemption de plusieurs semaines durant laquelle il reste récupérable. La menace de suppression immédiate est une pression artificielle.

Le lien de redirection externe. Le bouton pointe vers test-app.link, un service de redirection (deep linking) détourné pour masquer la vraie destination. Un renouvellement OVHcloud légitime se fait toujours sur ovh.com ou ovhcloud.com, jamais via un service tiers.

Les liens du pied de page vides. Les liens « Espace client », « Webmail », « Ressources » affichés en bas de l’email ne mènent nulle part : ce sont des liens sans destination, signe d’un modèle copié à la hâte sans soin.

Le texte minuscule caché. L’email contient du texte en très petite taille destiné à tromper les filtres antispam, une technique classique de dissimulation.

Comment vérifier l’état réel de votre nom de domaine ?

Ne cliquez jamais sur le bouton d’un email de renouvellement. Connectez-vous directement à votre espace client OVHcloud en tapant ovhcloud.com ou ovh.com manuellement dans votre navigateur, puis consultez la section de vos noms de domaine. La date d’expiration réelle et les éventuels renouvellements en attente y figurent.

Vous pouvez également vérifier publiquement la date d’expiration de n’importe quel nom de domaine via un service WHOIS officiel. Si la date affichée est éloignée, l’email est frauduleux. En cas de doute, contactez le support OVHcloud via votre espace client, jamais via un numéro ou un lien présent dans l’email suspect.

Que faire si vous avez cliqué et payé ?

Si vous avez cliqué sur le lien mais n’avez rien saisi, fermez la page et ne retournez pas dessus.

Si vous avez renseigné vos identifiants OVHcloud sur la page ouverte, connectez-vous immédiatement sur le site officiel et changez votre mot de passe. Activez la double authentification sur votre compte : un accès non autorisé à votre espace d’hébergement permettrait à un attaquant de détourner vos noms de domaine, vos sites et vos emails. Vérifiez aussi notre guide sur que faire en cas de compte compromis.

Si vous avez communiqué des coordonnées bancaires ou effectué un paiement, appelez votre banque sans attendre pour faire opposition. Signalez l’email sur Signal Spam et sur Cybermalveillance.gouv.fr.

Pourquoi les détenteurs de noms de domaine sont-ils ciblés ?

Cette arnaque vise une population spécifique : les propriétaires de sites web, entrepreneurs, indépendants et webmasters. L’enjeu est double pour les attaquants : soutirer un paiement frauduleux, mais surtout voler les identifiants d’accès à un espace d’hébergement. Un compte OVHcloud compromis donne accès aux noms de domaine, aux sites web, aux bases de données et aux adresses email professionnelles associées, un préjudice potentiellement majeur pour une activité en ligne.

Les listes d’adresses ciblées sont souvent constituées à partir des données WHOIS publiques, qui associent un nom de domaine à un email de contact, ou de fuites de données. C’est la même logique d’exploitation de données accessibles que dans les autres campagnes documentées sur safecode.fr, comme les fausses alertes bancaires au nom de la Société Générale ou le faux email Ledger visant les détenteurs de crypto. Pour renforcer votre protection, consultez nos règles d’hygiène numérique.

Comment reconnaître un faux email OVHcloud ?

Vérifiez l’adresse complète de l’expéditeur : OVHcloud communique depuis le domaine ovh.com, pas depuis un domaine se terminant simplement par l’extension .ovh comme mydomain.ovh. Connectez-vous directement sur ovhcloud.com en tapant l’adresse manuellement pour vérifier l’état réel de votre domaine, sans cliquer sur les liens de l’email.

Un email venant d’un domaine en .ovh vient-il forcément d’OVHcloud ?

Non. L’extension .ovh est une extension de nom de domaine que n’importe qui peut acheter, exactement comme .fr ou .com. Une adresse comme support@mydomain.ovh n’a aucun lien avec OVHcloud. Seul le domaine officiel ovh.com appartient à l’entreprise. L’extension après le dernier point ne garantit jamais l’identité de l’expéditeur.

Mon nom de domaine peut-il être supprimé en 3 jours si je ne paie pas ?

Non. Un nom de domaine non renouvelé ne disparaît pas immédiatement : il passe par une période de suspension puis de rédemption de plusieurs semaines durant laquelle il reste récupérable par son titulaire. La menace de suppression définitive sous 3 jours est une technique de pression typique des emails frauduleux.

Étiquettes :

, , , , , , ,

Hugo Lefebvre

Passionné par la cybersécurité et le développement d’outils de protection des systèmes d’information, avec des expériences dans le secteur de la sécurité réseau et de la protection des données. J’occupe différents rôles : ingénieur en sécurité applicative, consultant technique, et rédacteur pour Safecode.fr, où je partage analyses, bonnes pratiques et retours d’expérience autour de la sécurité informatique.

Commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *