Factures d’énergie en ligne : protéger votre email, vos alias et vos OTP

Les portails clients d’électricité, de gaz et d’eau sont devenus la norme : factures dématérialisées, suivi de consommation, changement d’adresse, justificatifs PDF, options d’alerte, prélèvements, et parfois même des offres de mobilité (déménagement, travaux, assurance). Le problème, c’est que votre adresse email devient l’identifiant central de tout ce petit écosystème. Dans cet article, on voit comment compartimenter vos comptes énergie avec des alias et de la redirection (TempForward), comment éviter les arnaques aux fausses factures et comment sécuriser vos codes OTP sans vous bloquer au quotidien.

Pourquoi ce domaine attire autant d’utilisateurs (et d’attaquants)

Les fournisseurs d’énergie et les gestionnaires de services publics ont un profil d’utilisateurs très large : quasiment tous les ménages, une grande partie des locataires qui déménagent souvent, et la quasi‑totalité des petites entreprises (TPE/PME) qui doivent payer des factures régulières. C’est aussi un domaine “critique” : si vous ratez un email important (impayé, modification de contrat, fin de tarif, rendez‑vous technicien), la conséquence est immédiate. Cette dépendance rend les emails de type “facture” et “urgence” particulièrement rentables pour les escrocs.

Ajoutez à cela deux réalités : (1) les comparateurs et partenaires commerciaux autour de l’énergie (devis, travaux, isolation, bornes de recharge, offres groupées) génèrent beaucoup de sollicitations marketing ; (2) les boîtes mail contiennent souvent des données utiles (adresse postale, PDL/PCE, références client, échéanciers). Résultat : le domaine “énergie & facturation” est un terrain idéal pour le phishing, l’ingénierie sociale et la revente de données.

Qui l’utilise le plus : profils typiques

1) Locataires et personnes en déménagement

Changements de contrat, transferts, résiliations, rendez‑vous de mise en service : c’est le scénario parfait où vous donnez votre email à plusieurs entités en peu de temps (fournisseur, gestionnaire de réseau, assurance habitation, agence, syndic). Un alias par fournisseur/contrat permet de garder le contrôle et de couper proprement un flux devenu inutile après le déménagement.

2) TPE/PME et indépendants

Les petites structures reçoivent des factures et notifications de multiples prestataires. Les attaques de type BEC (Business Email Compromise) et les faux RIB/IBAN profitent du chaos : un alias dédié à chaque fournisseur (énergie, eau, copropriété, déchets, maintenance) facilite la détection des anomalies. Si un alias reçoit soudain des demandes de paiement “hors process”, c’est un signal rouge.

3) Familles et foyers multi‑comptes

Dans beaucoup de foyers, un conjoint gère les contrats, un autre gère la banque, un troisième gère les travaux… et tout converge sur la même adresse email historique. La bonne pratique consiste à créer des alias “fonctionnels” (ex. energie-foyer@alias, eau-foyer@alias) et à rediriger vers la boîte principale, tout en gardant la possibilité de couper un alias si le spam explose.

Workflow concret : compartimenter l’énergie avec TempForward

L’objectif n’est pas de “se cacher”, mais de réduire votre surface d’attaque et de garder une capacité d’action. Le principe est simple : vous n’utilisez jamais votre adresse principale pour tout. Vous créez des alias qui redirigent, et vous utilisez un email temporaire uniquement pour les usages ponctuels (comparateurs, téléchargements, demandes de devis non critiques).

Étape A — Créer un alias par fournisseur (et par lieu si besoin)

Exemples de schéma lisible : energie-appartement@…, energie-bureau@…, eau-foyer@…. Si vous avez plusieurs logements (résidence principale + location), c’est encore plus important. Avec TempForward, vous pouvez rediriger tous ces alias vers votre boîte principale, sans exposer celle-ci aux partenaires secondaires.

Étape B — Utiliser un email temporaire pour les comparateurs et devis

Le moment où le spam “naît”, c’est souvent quand vous demandez un devis ou comparez des offres. Si la demande est ponctuelle, utilisez un email temporaire. Vous recevez l’OTP ou le lien de confirmation, vous récupérez l’information, puis vous laissez expirer l’adresse. Votre email principal n’entre jamais dans une boucle de prospection difficile à arrêter.

Étape C — Mettre des règles simples de tri

Une fois vos alias en place, vous pouvez créer des règles : tout ce qui arrive sur energie-* va dans un dossier “Énergie”. Avantage : (1) vous voyez vite le volume normal ; (2) toute variation brutale (20 emails/jour au lieu de 2) se remarque ; (3) vous pouvez prioriser ce dossier sans polluer la boîte de réception générale.

Risques principaux : de la fausse facture au vol d’OTP

Dans l’énergie, les attaques jouent sur l’urgence (“coupure imminente”), la promesse (“remboursement”), ou l’habitude (“votre facture PDF”). Les liens malveillants cherchent à vous faire entrer vos identifiants, puis à capter un code OTP (SMS, email, application). Une fois le compte compromis, l’attaquant peut modifier des coordonnées, télécharger des documents, voire préparer une fraude au paiement selon les services.

Un autre risque sous‑estimé : la réutilisation des mots de passe. Si le même mot de passe est utilisé sur des services non critiques, une fuite ailleurs peut suffire à tenter une connexion au portail énergie. Même si la connexion est bloquée, l’attaquant peut déclencher une avalanche d’OTP, ce qui augmente la probabilité d’une erreur humaine (saisir un code sur un faux site, répondre à un “support” frauduleux, etc.).

Bonnes pratiques (simples) qui font une vraie différence

1) Un mot de passe unique + un gestionnaire

Chaque portail client doit avoir un mot de passe unique et long. Un gestionnaire de mots de passe rend cela réaliste. C’est la base pour éviter l’effet domino (une fuite → 10 comptes compromis).

2) MFA : privilégier l’application quand c’est possible

Quand vous avez le choix, une application d’authentification est souvent plus robuste qu’un SMS. Si l’email sert d’OTP, assurez-vous que l’adresse qui reçoit l’OTP (via alias/redirection) est elle-même protégée (MFA, récupération à jour, pas d’anciens appareils).

3) Alias dédiés : votre coupe‑circuit anti‑spam

L’avantage d’un alias dédié, c’est la capacité de réaction. Si l’alias d’un ancien logement commence à recevoir du spam, vous pouvez le désactiver sans impacter le reste. C’est une hygiène numérique comparable à avoir des cartes bancaires virtuelles par commerçant.

4) Vérifier l’URL, pas le logo

Les emails frauduleux imitent très bien les logos. La vraie vérification, c’est l’URL : domaine exact, pas de sous‑domaines trompeurs, pas de raccourcisseurs. En cas de doute, ne cliquez pas : ouvrez votre navigateur et tapez l’adresse officielle, ou passez par vos favoris.

Mini-checklist “énergie” à appliquer dès aujourd’hui

• Créer 1 alias par fournisseur (et par logement si besoin), redirigé vers votre boîte principale.
• Utiliser un email temporaire pour comparateurs, devis, téléchargements et tests ponctuels.
• Mettre un mot de passe unique + activer la MFA sur le portail énergie et sur votre email.
• Créer un dossier “Énergie” et une règle de tri pour surveiller les variations.
• Traiter tout OTP non sollicité comme une alerte (changez le mot de passe, vérifiez l’historique de connexion).

Sources et ressources (pour aller plus loin)

• NIST SP 800-63B (authentification)
• OWASP Authentication Cheat Sheet
• ENISA : bonnes pratiques contre le phishing
• CNIL : spam/phishing, signaler et agir
• FTC : reconnaître et éviter les arnaques de phishing