Cursus

Comment protéger sa messagerie académique Strasbourg contre le phishing ?

18 mai 2026

Femme universitaire examinant un email de phishing suspect sur son ordinateur portable dans un bureau académique

Le phishing sur la messagerie académique Strasbourg exploite un mécanisme simple : un courriel imite une communication officielle de l’académie pour récupérer un identifiant et un mot de passe. Le site SSI de l’académie de Strasbourg recense plusieurs campagnes récentes, dont un faux message Colibris envoyé depuis des adresses académiques compromises entre le 13 et le 25 mars 2026, ou encore de fausses notifications de rendez-vous de carrière.

Sommaire
Anatomie d’un courriel de phishing sur le webmail académiqueProtocoles d’authentification et sécurité du compte académiqueChanger son mot de passe après une compromissionConfigurer IMAP et SMTP sans exposer ses identifiantsSignaler un message frauduleux à l’académie de StrasbourgTransférer un courriel en pièce jointe depuis le webmailCampagnes de phishing récentes ciblant l’académie de Strasbourg

Comprendre le fonctionnement de ces attaques permet de les neutraliser avant qu’elles ne causent des dégâts.

Lire également : Optimiser l'utilisation de la messagerie académique dans l'Académie de Créteil

Anatomie d’un courriel de phishing sur le webmail académique

Un courriel d’hameçonnage destiné aux personnels de l’académie de Strasbourg reproduit les codes visuels d’un message institutionnel. L’objet du message reprend un vocabulaire familier : « Notification de l’appréciation finale du rendez-vous de carrière », « Sécurisation de votre messagerie académique », « Mise à jour de l’annuaire ».

Le piège repose sur un lien qui redirige vers une page imitant l’interface d’authentification du webmail (courrier.ac-strasbourg.fr). Une fois l’identifiant et le mot de passe saisis, le compte est compromis. L’attaquant peut alors envoyer de nouveaux messages de phishing depuis cette adresse, ce qui rend la détection plus difficile pour les destinataires suivants.

Lire également : Mel2Web : Messagerie académique, comment s’y connecter ?

Trois éléments techniques permettent de repérer la supercherie avant de cliquer :

  • L’adresse de l’expéditeur ou de réponse ne correspond pas au domaine ac-strasbourg.fr, ou bien le message provient d’un compte d’une autre académie détournée
  • Le lien intégré au courriel pointe vers un domaine extérieur au périmètre académique – survoler le lien avec la souris sans cliquer affiche l’URL réelle dans la barre d’état du navigateur
  • Le message crée une urgence artificielle (compte bloqué, messagerie saturée, convocation) pour pousser à agir sans réfléchir

Étudiant inquiet consultant une page de connexion frauduleuse sur son smartphone dans une bibliothèque universitaire

Protocoles d’authentification et sécurité du compte académique

La première barrière contre le phishing n’est pas un logiciel, c’est la robustesse du mot de passe. Un mot de passe réutilisé sur plusieurs services devient une porte ouverte dès qu’un seul de ces services est compromis.

Changer son mot de passe après une compromission

L’académie de Strasbourg met à disposition une application dédiée au changement de mot de passe, accessible à l’adresse si.ac-strasbourg.fr/identifiant. Cette page est aussi accessible depuis l’écran de connexion du webmail académique, via le lien « Changer son mot de passe », sans être connecté au compte.

Le nouveau mot de passe doit être unique, c’est-à-dire jamais utilisé sur un autre service, qu’il soit personnel ou professionnel. Ce point n’est pas une recommandation cosmétique. Quand un compte académique est piraté, l’attaquant teste le même couple identifiant/mot de passe sur d’autres plateformes.

Configurer IMAP et SMTP sans exposer ses identifiants

La configuration de la messagerie académique sur un smartphone ou un client de messagerie passe par les protocoles IMAP (réception) et SMTP (envoi). Lors du paramétrage, le chiffrement SSL/TLS doit être activé. Un protocole configuré sans chiffrement transmet l’identifiant et le mot de passe en clair sur le réseau, ce qui les rend interceptables.

Enregistrer son mot de passe académique dans un navigateur partagé (salle des professeurs, poste en libre accès) revient à rendre ces identifiants accessibles à toute personne utilisant ce poste après vous.

Signaler un message frauduleux à l’académie de Strasbourg

Supprimer un courriel de phishing protège votre compte. Le signaler protège l’ensemble du réseau académique. L’académie de Strasbourg dispose d’une adresse dédiée aux alertes : [email protected].

La procédure de signalement demande de transférer le message au format pièce jointe, pas en simple transfert. Cette distinction technique a son importance : un transfert classique perd les en-têtes techniques du courriel, qui contiennent les informations nécessaires pour remonter à la source de l’attaque.

Transférer un courriel en pièce jointe depuis le webmail

Depuis le webmail académique courrier.ac-strasbourg.fr, la manipulation consiste à cliquer sur la flèche vers le bas à côté du bouton « Transférer », puis à sélectionner « En tant que pièce jointe ». Le courriel suspect est alors encapsulé avec tous ses en-têtes, ce qui permet à l’équipe SSI d’analyser la provenance réelle du message.

Ce geste prend quelques secondes. Il alimente les filtres anti-spam de l’académie et aide à bloquer les campagnes en cours avant qu’elles ne touchent d’autres personnels.

Équipe informatique universitaire analysant des alertes de phishing sur des écrans de sécurité dans une salle de support technique

Campagnes de phishing récentes ciblant l’académie de Strasbourg

Le site SSI de l’académie publie des alertes à chaque campagne identifiée. Connaître les scénarios déjà utilisés aide à repérer les prochains, car les attaquants recyclent les mêmes schémas avec des variantes mineures.

  • Mars 2026 : faux message Colibris envoyé depuis des adresses académiques compromises, invitant à saisir ses identifiants sur une page frauduleuse
  • Décembre 2025 : fausse notification d’appréciation finale de rendez-vous de carrière, envoyée depuis une adresse d’une autre académie
  • Juillet 2025 : faux message de sécurisation de la messagerie académique
  • Mai 2025 : faux message concernant la mise à jour de l’annuaire
  • Novembre 2024 : message usurpant une adresse « personnels.education » liée à la sécurité des systèmes d’information
  • Mars 2024 : deux campagnes simultanées, un faux message « Information importante du Rectorat » et un faux message « Visio ce lundi à 16h »

Le point commun de ces campagnes : chaque courriel contenait un lien pointant hors du domaine ac-strasbourg.fr, et chaque message exploitait un sujet crédible dans le contexte professionnel d’un enseignant ou d’un personnel administratif.

La consultation régulière de la page d’alertes du site SSI (ssi.ac-strasbourg.fr) reste le moyen le plus fiable de vérifier si un message reçu correspond à une campagne identifiée. Un courriel académique qui demande de cliquer sur un lien pour saisir un mot de passe est, dans la quasi-totalité des cas, un message d’hameçonnage à signaler immédiatement.

D'autres actualités sur le site

Étudiante en arts appliqués examinant un portfolio dans un atelier scolaire avec des échantillons de couleurs et des croquis techniques
Cursus

Que regarder avant de s’inscrire dans une école d’arts appliqués en 2026 ?

Femme consultant le logiciel LSU ac Versailles sur une tablette depuis son bureau à domicile
Cursus

LSU ac Versailles sur tablette ou mobile : accès, limites et bonnes pratiques

Femme écrivant en voyage à Madrid avec architecture espagnole
Cursus

Verbe SER Conjugaison : les temps indispensables pour voyager en Espagne

Recherche

À lire absolument

Conseils

Quelle est l’importance de la dynamique de groupe ?

Entreprise

Comment devenir un chef d’entreprise sans diplôme?

Le coin des curieux

Cursus

Quel est le métier le mieux payé dans l’audiovisuel ?

Lost your password?