TempForward
🛡️ Sécurité email & anti-phishing

Ivanti EPMM exploité : leçons pratiques pour protéger vos emails, OTP et comptes

Publié le 15 février 2026 · 12 min de lecture

Quand une vulnérabilité critique est activement exploitée, l’actualité se focalise naturellement sur le correctif, les indicateurs de compromission et les détails techniques. Mais, pour la plupart des personnes (et même pour beaucoup d’équipes), le vrai sujet est ailleurs : comment éviter qu’un incident d’infrastructure se transforme en prise de contrôle de vos comptes. Et, presque toujours, l’élément pivot est… l’email.

📰 Actualité (moins de 24h, via RSS)

Selon un article récent de BleepingComputer, une grande partie des tentatives d’exploitation de failles Ivanti EPMM a été attribuée à un même acteur : One threat actor responsible for 83% of recent Ivanti RCE attacks. Au-delà du logiciel concerné, ce type d’événement rappelle un mécanisme classique : une compromission technique ouvre la porte à la collecte d’identifiants, à l’abus de sessions, puis à des attaques de phishing et de réinitialisation de mots de passe. Et là, votre boîte mail et vos OTP deviennent des cibles directes.

Pourquoi une exploitation “serveur” finit souvent en problème d’email

On pourrait croire qu’une vulnérabilité d’exécution de code à distance (RCE) ne concerne que l’administrateur système. En réalité, dès qu’un attaquant obtient un accès (même temporaire), il cherche vite à convertir cet accès en quelque chose de plus durable et plus rentable. L’email est une cible parfaite, parce qu’il sert à :

  • réinitialiser des mots de passe via “Mot de passe oublié” ;
  • recevoir des codes OTP (2FA par email) ;
  • valider des connexions (liens de confirmation) ;
  • se faire passer pour vous auprès de vos contacts (fraude au président, fraude au support) ;
  • pivoter vers d’autres services (cloud, CRM, réseaux sociaux, outils bancaires).

Dans beaucoup d’incidents, l’email n’est pas le point d’entrée, mais il devient la clé universelle qui permet de prendre le reste. La conséquence pratique est simple : même si vous n’êtes pas directement concerné par Ivanti EPMM, vous pouvez tirer des leçons utiles pour votre hygiène email (pro et perso).

Le scénario le plus fréquent : “je ne comprends pas, j’ai reçu un OTP”

Beaucoup de personnes découvrent une attaque quand elles reçoivent un email du type : “Voici votre code de connexion” ou “Votre mot de passe a été réinitialisé”. Dans le meilleur des cas, cela signifie qu’un attaquant a simplement votre identifiant (souvent votre adresse email) et tente des connexions. Dans le pire des cas, cela signifie que :

  1. vos identifiants ont été trouvés (fuite, malware, phishing) et le mot de passe est correct ;
  2. l’attaquant essaie de franchir la 2FA/OTP ;
  3. ou l’attaquant a déjà accès à votre email et intercepte l’OTP.

C’est exactement pour éviter cette cascade que la meilleure stratégie, même pour un utilisateur “non technique”, est de segmenter son identité email. Autrement dit : arrêter d’utiliser une seule adresse pour tout.

Mesure 1 : séparer “adresse coffre” et “adresse d’exposition”

Si vous ne deviez faire qu’une seule chose après avoir lu cet article, ce serait celle-là. L’idée est de créer deux univers :

  • L’adresse coffre (ou “adresse noyau”) : réservée aux comptes critiques (banque, stockage cloud, admin, services gouvernementaux, santé). Elle n’est donnée à presque personne. Elle ne sert pas à s’inscrire sur des sites “au hasard”. Elle n’est pas publique. Elle est protégée par un mot de passe unique et une authentification forte.
  • L’adresse d’exposition : celle qui “vit” sur Internet. Elle sert aux inscriptions, aux newsletters, aux essais, aux services secondaires. C’est celle qui a le plus de chances d’être dans des bases de données.

Quand une campagne de phishing se déchaîne (ou quand un incident comme une exploitation RCE permet de voler des données internes), la séparation limite la casse : même si votre adresse d’exposition est ciblée, votre adresse coffre reste difficile à associer et à atteindre.

💡 Pourquoi ça marche

La plupart des attaques s’appuient sur votre adresse email comme identifiant universel. Si l’adresse critique n’est pas utilisée pour des inscriptions “bruyantes”, elle est moins exposée aux fuites, moins présente dans les listes, et donc moins ciblée.

Mesure 2 : des alias par service (traçabilité et arrêt net)

Les alias sont la solution “propre” quand vous devez conserver une relation longue avec un service, mais que vous voulez garder le contrôle. L’approche la plus efficace est étonnamment simple : 1 alias = 1 service. Vous obtenez trois bénéfices immédiats :

  • Traçabilité : vous identifiez instantanément quelle entreprise a potentiellement laissé fuiter votre adresse.
  • Filtrage : vous classez les emails par destinataire (l’alias) plutôt que par expéditeur (qui peut être usurpé).
  • Interrupteur : si l’alias est spammé, vous le désactivez sans toucher au reste.

Dans le contexte d’une exploitation comme Ivanti EPMM, c’est précieux : les attaquants aiment rebondir vers des messageries, des portails VPN, des solutions MDM, des consoles cloud. Si un alias dédié commence à recevoir des tentatives d’accès ou des messages suspects, vous détectez plus tôt l’attaque et vous pouvez isoler.

Mesure 3 : l’email temporaire pour tout ce qui n’a pas besoin de durée

Les emails temporaires (ou emails jetables) sont faits pour une chose : réduire l’exposition. Si vous vous inscrivez juste pour télécharger un fichier, lire un article, tester un outil, obtenir un coupon ou accéder à un contenu, vous n’avez pas besoin de donner une adresse “qui vous suit pendant des années”.

C’est précisément dans ces cas que l’email temporaire a le meilleur ratio effort/gain : l’inscription fonctionne, vous récupérez le lien, puis l’adresse devient inutilisable pour vous spammer. Même si la plateforme revend sa base d’emails, votre adresse temporaire n’a plus de valeur.

Deux règles simples pour bien l’utiliser

  1. Pas d’usage critique : évitez banque, santé, impôts, admin, et tout compte dont vous aurez besoin de récupérer l’accès dans 6 mois.
  2. Pas d’OTP vital : si un service envoie des OTP par email pour une action sensible, préférez une adresse dédiée et sécurisée.

En pratique, ces règles évitent le piège classique : “je ne peux plus accéder à mon compte parce que l’adresse jetable n’existe plus”. Pour le reste, c’est l’un des meilleurs moyens de diminuer le bruit, de retrouver une boîte propre, et de réduire les opportunités de phishing.

Mesure 4 : traiter l’OTP comme un actif sensible, pas comme un détail

L’OTP est une protection… mais aussi une cible. On voit souvent des utilisateurs se faire surprendre parce qu’ils considèrent l’OTP comme un “petit code” sans valeur. Or, dans les attaques modernes, le code est parfois la dernière barrière entre l’attaquant et votre compte.

Quelques pratiques concrètes qui évitent des catastrophes :

  • Passkeys & appli d’authentification quand c’est possible : moins dépendant de l’email.
  • Réserves d’OTP (codes de secours) stockées dans un endroit sûr, pas dans la boîte mail.
  • Vérification du contexte : si vous recevez un OTP sans l’avoir demandé, considérez cela comme une alerte et changez le mot de passe.
  • Ne jamais recopier un OTP sur un lien venant d’un email inattendu : tapez l’URL du service vous-même ou utilisez un signet.

Dans une situation où des systèmes d’entreprise seraient compromis, les attaquants peuvent cibler des employés avec des emails “internes” très plausibles demandant un code. Si l’on combine compromission technique + phishing persuasif, l’OTP devient une monnaie.

Mesure 5 : réduire le “bruit” pour augmenter votre vigilance

C’est un point psychologique, mais essentiel. Une boîte encombrée de newsletters, d’offres, de promotions et de notifications banales rend le phishing plus efficace. Pourquoi ? Parce que votre cerveau apprend à trier vite, à cliquer vite, à faire “archiver” sans réfléchir. L’attaquant, lui, n’a besoin que d’une seule erreur.

L’email temporaire et les alias réduisent le volume, mais vous pouvez aller plus loin avec une stratégie de filtrage centrée sur le destinataire :

  • créez des dossiers par grandes catégories (Comptes, Shopping, Travail, Outils, Newsletters) ;
  • filtrez selon l’adresse destinataire (alias) plutôt que selon l’expéditeur ;
  • mettez en avant les emails qui arrivent sur l’adresse coffre : ils devraient être rares.

Résultat : un email “hors catégorie” ressort visuellement. Une tentative de phishing se remarque plus facilement, même si le texte est parfait.

Checklist de réaction rapide (utile même si vous n’êtes pas “tech”)

Si vous soupçonnez une compromission (OTP inattendu, alerte de connexion, activité bizarre), voici une séquence courte qui couvre l’essentiel. L’objectif n’est pas de tout faire parfaitement, mais de casser la chaîne de l’attaquant rapidement.

  1. Changez le mot de passe de l’email (adresse coffre et/ou principale), avec un mot de passe unique.
  2. Activez ou renforcez la MFA sur la messagerie.
  3. Vérifiez les règles de transfert et les filtres (les attaquants adorent ajouter une redirection silencieuse).
  4. Déconnectez les sessions (option “se déconnecter de tous les appareils”).
  5. Réinitialisez les comptes critiques qui dépendent de cet email (banque, cloud, réseaux sociaux).
  6. Commencez la segmentation : alias + email temporaire pour les nouveaux services.

Astuce anti-piège : attention aux redirections

Dans les compromissions de messagerie, l’attaquant ne change pas toujours le mot de passe. Il ajoute une règle qui transfère les messages (ou ceux contenant “OTP”, “code”, “facture”) vers une adresse externe. Si vous ne vérifiez pas ces règles, vous pouvez croire que tout est réglé… alors que l’attaquant continue de recevoir vos emails.

Ce que l’actualité Ivanti nous rappelle, en une phrase

Les failles et les exploits vont et viennent, mais l’email reste un point de pivot. Si vous isolez votre adresse coffre, si vous utilisez des alias pour tracer, et si vous passez par des emails temporaires pour les usages à faible enjeu, vous réduisez drastiquement la probabilité qu’un incident technique (chez vous ou chez un fournisseur) se transforme en perte de comptes.

Réduisez votre exposition avec TempForward

Créez des emails temporaires en quelques secondes, limitez l’usage de votre adresse principale, et gardez le contrôle face au spam, au phishing et aux demandes d’OTP piégées.

Créer un Email Temporaire Gratuit → Découvrir les fonctionnalités
Email jetable
Anti-spam • Anti-phishing