Skip to content
Email Tools

guide · Protect Privacy

Comment Protéger Son Email du Piratage en 2026

Guide complet pour protéger votre compte email contre le piratage en 2026 — clés d'accès, gestionnaire de mots de passe, phishing IA, audit des accès et que faire si votre compte est compromis.

Alexis Dollé Par Alexis Dollé · ·
Comment Protéger Son Email du Piratage en 2026

Soixante-dix-sept pour cent des violations liées au piratage impliquent des identifiants volés ou compromis, selon le rapport Verizon 2026 sur les violations de données. Les comptes email se trouvent au centre de ce problème — ils sont l’adresse de récupération de tous vos autres comptes, ce qui en fait la cible la plus précieuse de votre vie numérique. La bonne nouvelle : le modèle de menace a évolué dans une direction prévisible, et les défenses aussi. Les clés d’accès (passkeys) sont désormais accessibles à tous. Le phishing généré par l’IA est le nouveau vecteur d’attaque. Les attaques par échange de carte SIM ont fait des codes SMS le maillon le plus faible. Ce guide couvre chaque couche de protection avec des étapes concrètes, pas des conseils généraux.

Pourquoi votre email est la clé maîtresse que les attaquants ciblent

Votre compte email est l’adresse de récupération de presque tous les autres services que vous utilisez — banque, réseaux sociaux, stockage cloud, outils professionnels. Quiconque contrôle votre boîte de réception peut réinitialiser des mots de passe, intercepter des codes de vérification et accéder à tous les comptes liés à cette adresse. C’est pourquoi les comptes email sont ciblés de manière disproportionnée dans les attaques par vol d’identifiants.

HaveIBeenPwned recense actuellement plus de 17,6 milliards de comptes compromis dans 991 violations connues. La plupart de ces identifiants se retrouvent dans des attaques automatisées par bourrage de credentials — des bots qui testent systématiquement des paires identifiant-mot de passe sur des milliers de services jusqu’à trouver une correspondance. Votre fournisseur email est toujours sur la liste des cibles.

Le paysage des menaces en 2026 diffère de celui d’il y a cinq ans sur trois points concrets :

  • Le phishing généré par l’IA a supprimé les fautes d’orthographe et les formulations maladroites — les signaux traditionnels qui permettaient aux utilisateurs avertis de détecter les tentatives — produisant des messages très convaincants et personnalisés à grande échelle. La FIDO Alliance rapporte une augmentation de 3 000 % des attaques de phishing alimentées par l’IA ciblant les identifiants depuis 2023.
  • Les attaques par échange de carte SIM permettent aux attaquants de détourner votre numéro de téléphone en manipulant votre opérateur, ce qui neutralise entièrement les codes à double authentification envoyés par SMS.
  • Les clés d’accès sont désormais généralisées sur Gmail, Outlook, Apple ID et la plupart des grands services — ce qui signifie que la protection la plus forte est aussi la plus accessible qu’elle n’ait jamais été.

Protéger votre compte email aujourd’hui consiste à superposer ces défenses dans le bon ordre. Les sections ci-dessous vont de la mesure à l’impact le plus élevé vers les mesures complémentaires.

Activez d’abord une clé d’accès ou une clé de sécurité physique

Les clés d’accès sont résistantes au phishing par conception : elles utilisent la cryptographie à clé publique liée à votre appareil spécifique, ce qui signifie qu’un attaquant ne peut pas les voler ni les rejouer, même avec un site de phishing parfait. Google rapporte une amélioration de 4x du taux de réussite de connexion avec les clés d’accès par rapport aux mots de passe. Pour Gmail, allez dans myaccount.google.com → Sécurité → Clés d’accès et suivez la procédure de configuration.

L’authentification à double facteur basée sur les SMS ajoute une barrière significative, mais elle comporte un contournement documenté : les attaques par échange de SIM. Un attaquant appelle votre opérateur, prétend être vous, dit qu’il a un nouveau téléphone et demande que votre numéro soit transféré. Une fois ce transfert effectué, chaque code SMS envoyé à votre numéro atterrit chez l’attaquant.

Les applications d’authentification (Google Authenticator, Authy, Microsoft Authenticator) sont nettement plus sûres — elles génèrent des codes temporels sur votre appareil, que l’échange de SIM ne peut pas atteindre. Pour la plupart des utilisateurs, une application d’authentification est la bonne prochaine étape si les clés d’accès semblent peu familières.

Les clés d’accès se situent au-dessus de ces deux options dans la hiérarchie de sécurité :

  • Elles reposent sur la biométrie ou le code PIN de votre appareil — rien qui ne transite sur un réseau
  • Un site de phishing ne peut pas capturer une clé d’accès car la clé est cryptographiquement liée au domaine légitime
  • Si votre appareil est perdu ou volé, la clé d’accès ne peut pas être extraite sans votre biométrie ou PIN

Comment configurer une clé d’accès pour Gmail :

  1. Allez sur myaccount.google.com/security
  2. Sélectionnez « Clés d’accès et clés de sécurité »
  3. Cliquez sur « Créer une clé d’accès »
  4. Suivez les instructions à l’écran — votre appareil utilisera Face ID, Touch ID, Windows Hello ou un PIN
  5. Testez-la en vous déconnectant et en vous reconnectant

Pour les instructions complètes de configuration de la double authentification Gmail, consultez notre guide de configuration de la double authentification Gmail.

Les clés de sécurité physiques (YubiKey, Google Titan Key) offrent la même résistance au phishing que les clés d’accès avec l’avantage supplémentaire de ne pas dépendre des logiciels de l’appareil. Si vous gérez des comptes sensibles ou travaillez dans un environnement à risque élevé, une clé physique vaut bien l’investissement de 25 à 50 €.

Mots de passe uniques et gestionnaire de mots de passe

Chaque compte email — y compris les alias et les adresses professionnelles — doit avoir un mot de passe unique qu’aucun autre service ne partage. Les gestionnaires de mots de passe (Bitwarden, 1Password, Dashlane) génèrent et stockent des identifiants uniques de sorte qu’une violation d’un service ne peut pas se propager. La FIDO Alliance a constaté que 36 % des utilisateurs interrogés avaient au moins un compte compromis en raison de la réutilisation de mots de passe.

Le bourrage d’identifiants est automatisé. Les attaquants achètent des dumps de violations — des listes de paires email-mot de passe fuitées depuis des sites compromis — et les testent contre Gmail, Outlook, Yahoo et tous les autres grands fournisseurs. Si votre mot de passe email correspond à quoi que ce soit dans ces listes, le compte tombe en quelques minutes après qu’une violation se produise quelque part ailleurs.

La solution est mécanique : générez un mot de passe aléatoire et unique pour chaque compte et stockez-le dans un gestionnaire de mots de passe. Vous n’avez pas besoin de retenir les mots de passe — vous devez uniquement retenir un mot de passe maître fort.

Ce qu’il faut rechercher dans un gestionnaire de mots de passe :

  • Bitwarden — open-source, version gratuite généreuse, multiplateforme
  • 1Password — fonctionnalités solides de partage familial et en équipe
  • Dashlane — surveillance intégrée des violations qui vous alerte quand un identifiant stocké apparaît dans une violation connue

La longueur du mot de passe importe plus que sa complexité : une chaîne aléatoire de 20 caractères est exponentiellement plus difficile à craquer qu’un mélange de 8 caractères comprenant lettres, chiffres et symboles. La plupart des gestionnaires de mots de passe utilisent 16 à 20 caractères par défaut — acceptez ces valeurs par défaut.

Une fois que vous avez un gestionnaire de mots de passe, changez d’abord votre mot de passe email. Puis travaillez vers l’extérieur — comptes bancaires, professionnels, réseaux sociaux — au cours d’une semaine. L’objectif est zéro réutilisation de mot de passe sur tout ce qui compte.

Pour les instructions étape par étape sur la modification de votre mot de passe Gmail, consultez notre guide de changement de mot de passe Gmail.

Reconnaître le phishing généré par l’IA en 2026

Les emails de phishing modernes sont grammaticalement parfaits, adressés personnellement et incluent souvent de vrais détails contextuels provenant de LinkedIn ou des réseaux sociaux. Les indicateurs fiables qui subsistent sont : le domaine de l’expéditeur (regardez ce qui vient après @, pas le nom d’affichage), les destinations de liens qui ne correspondent pas à ce qui est affiché (survolez avant de cliquer), les mises en scène d’urgence, et les demandes contournant les canaux habituels.

Avant que les outils d’IA ne réduisent le coût de production du phishing, les campagnes se distinguaient par des signes évidents : fautes de frappe, messages d’accueil génériques, scénarios invraisemblables. Ces signaux ont disparu. Un rapport SlashNext 2024 documente une augmentation de 3 000 % des attaques de phishing alimentées par l’IA, avec des messages de plus en plus personnalisés à partir de données publiques.

Ce qui trahit encore le phishing en 2026 :

Le domaine de l’expéditeur est le signal le plus fiable. Les noms d’affichage sont trivialement falsifiables — « Équipe de sécurité Google » peut être défini par n’importe qui. Le domaine réel dans l’adresse d’expédition ne peut pas être falsifié si votre fournisseur vérifie DMARC. Regardez ce qui vient après @ : securite@comptes-google-alertes.com n’est pas Google, quel que soit le nom d’affichage.

Les destinations des liens ne correspondent pas à ce qui est affiché. Survolez n’importe quel lien avant de cliquer — l’URL affichée dans la barre d’état de votre navigateur doit correspondre au domaine attendu. Les sites de phishing utilisent régulièrement des domaines visuellement similaires (go0gle.com, paypa1.com) ou des services de redirection légitimes pour masquer la vraie destination.

L’urgence qui contourne les procédures normales. « Votre compte sera suspendu dans 24 heures si vous ne vérifiez pas immédiatement » est conçu pour empêcher la réflexion délibérée. Les vrais fournisseurs ont des flux de notification qui laissent des jours ou des semaines pour agir, pas des heures.

Les demandes d’identifiants par email. Aucun vrai fournisseur ne vous demande d’envoyer votre mot de passe par email ou de le saisir dans un formulaire lié depuis un email. En cas de doute, naviguez directement vers le service en tapant son adresse dans votre navigateur — pas en cliquant sur un lien dans l’email.

Pour aider à distinguer les vraies alertes de sécurité Gmail du phishing, notre guide sur les spams qui passent encore dans Gmail couvre la configuration des filtres. Pour le signalement, consultez comment signaler un spam dans Gmail.

Alertes de connexion suspecte et surveillance des sessions

Gmail, Outlook et la plupart des fournisseurs envoient des alertes lorsque votre compte est accédé depuis un nouvel appareil ou une nouvelle localisation. Activez-les et réagissez immédiatement. Vérifiez également les sessions actives de votre compte — Gmail l’affiche en bas de la boîte de réception sous « Dernière activité du compte ». Toute session non reconnue doit être fermée et suivie d’un changement de mot de passe.

Les alertes de connexion sont le système d’alerte le plus précoce pour un événement d’accès non autorisé. La plupart des attaques commencent par une tentative de connexion discrète, pas par des dommages immédiats — l’attaquant accède au compte, lit les emails, configure des règles de transfert et attend avant de faire quoi que ce soit de visible.

Pour activer les alertes de connexion dans Gmail :

  1. Allez sur myaccount.google.com/security
  2. Sous « Comment vous connectez-vous à Google », vérifiez que la validation en 2 étapes est activée et que vos informations de récupération sont à jour
  3. Faites défiler jusqu’à « Activité de sécurité récente » — Google vous alerte automatiquement des nouvelles connexions depuis un appareil via votre email ou téléphone de récupération

Pour vérifier les sessions Gmail actives :

  1. Ouvrez Gmail et faites défiler jusqu’en bas de la boîte de réception
  2. Cliquez sur « Détails » à côté de « Dernière activité du compte »
  3. Vérifiez la liste des accès récents — type d’appareil, navigateur, localisation, heure
  4. Cliquez sur « Déconnexion de toutes les autres sessions web » si quelque chose semble suspect

Pour Outlook, allez dans account.microsoft.com/security → Activité de connexion pour trouver les mêmes informations.

Définissez un rappel mensuel dans votre calendrier pour vérifier cette page. La plupart des gens ne vérifient qu’après un problème — une vérification proactive détecte les accès non autorisés avant que l’attaquant n’escalade.

Audit des mots de passe d’application et des accès OAuth

Les applications tierces connectées à votre compte email via OAuth conservent leur accès même après que vous avez cessé de les utiliser, et certaines stockent des identifiants pouvant être compromis indépendamment. Un audit trimestriel des applications autorisées — révoquant tout ce que vous n’utilisez plus — supprime une surface d’attaque inutile.

Lorsque vous connectez un outil de productivité, un client email ou une plateforme marketing à Gmail ou Outlook via « Se connecter avec Google » ou OAuth, vous accordez à cette application un accès continu à votre compte. Si l’application est ensuite compromise, abandonnée ou vendue, cette connexion OAuth reste active jusqu’à ce que vous la révoquiez explicitement.

Pour auditer les applications connectées à Gmail :

  1. Allez sur myaccount.google.com/security
  2. Faites défiler jusqu’à « Applications tierces ayant accès au compte »
  3. Cliquez sur « Gérer l’accès aux applications tierces »
  4. Pour chaque application listée : vérifiez le niveau d’accès (certaines ont « Afficher et gérer votre messagerie »), vérifiez la date de dernière utilisation, et révoquez tout ce que vous n’utilisez pas activement

Pour auditer les applications connectées à Outlook :

  1. Allez sur account.microsoft.com/privacy
  2. Sélectionnez « Applications et services » → « Applications et services pouvant accéder à vos données »
  3. Révoquez tout ce que vous ne reconnaissez pas ou n’utilisez plus

Les mots de passe d’application sont une problématique distincte — ce sont de longs codes alphanumériques générés par votre fournisseur qui permettent à des applications plus anciennes de se connecter sans passer par le flux de double authentification. Si vous avez activé la double authentification et avez des applications connectées plus anciennes qui vous ont demandé de générer un mot de passe d’application, auditez-les également : myaccount.google.com/apppasswords.

Configuration de l’email et du téléphone de récupération

Votre email et votre téléphone de récupération sont les seules façons de retrouver l’accès à votre compte si vous perdez simultanément votre mot de passe et votre appareil de double authentification. Si ces informations ne sont pas configurées — ou si elles pointent vers des comptes ou des numéros que vous ne contrôlez plus — un verrouillage devient définitif. Vérifiez-les maintenant, avant d’en avoir besoin.

La récupération de compte est l’élément le plus négligé de la sécurité email. Les gens configurent une adresse email de récupération il y a des années, oublient quelle adresse c’était, et perdent l’accès à ce compte. Ou le numéro de téléphone de récupération appartenait à un opérateur précédent qu’ils n’utilisent plus. Quand un verrouillage se produit — que ce soit à cause d’un attaquant ou simplement parce qu’on a oublié ses identifiants — le chemin de récupération est la seule option.

Pour vérifier les informations de récupération Gmail :

  1. Allez sur myaccount.google.com/security
  2. Sous « Façons dont nous pouvons vérifier votre identité », vérifiez à la fois l’email et le téléphone de récupération
  3. Confirmez que vous avez toujours accès à l’adresse email de récupération
  4. Confirmez que vous recevez toujours des SMS sur le numéro de téléphone de récupération

Pour un guide complet des options de récupération Gmail, consultez notre guide des options de récupération de compte Gmail.

L’email de récupération devrait idéalement être chez un fournisseur différent — si votre compte Gmail est compromis, une adresse de récupération Gmail peut être accessible au même attaquant. Utilisez une adresse Outlook, ProtonMail ou autre comme email de récupération Gmail, et inversement.

Que faire si votre compte est compromis

Si vous avez encore accès : changez votre mot de passe immédiatement, révoquez toutes les sessions actives, activez les clés d’accès ou la double authentification, et vérifiez votre dossier Envoyés et les règles de transfert d’email. Si vous êtes verrouillé : utilisez le processus de récupération du fournisseur — c’est précisément pourquoi configurer les informations de contact de récupération à l’avance est si important.

La rapidité est essentielle lors d’une compromission — le premier objectif de l’attaquant est souvent de vous verrouiller en changeant l’email et le numéro de téléphone de récupération. Si vous remarquez une activité suspecte mais avez encore accès, agissez immédiatement :

  1. Changez votre mot de passe — allez directement sur la page des paramètres de sécurité (ne cliquez pas sur les liens dans les emails suspects)
  2. Déconnectez toutes les autres sessions — dans Gmail : Dernière activité du compte → Déconnexion de toutes les autres sessions web
  3. Révoquez tous les accès OAuth — toute application connectée pourrait avoir été utilisée pour exfiltrer des données
  4. Activez les clés d’accès ou la double authentification si ce n’est pas déjà fait
  5. Vérifiez les règles de transfert d’email — les attaquants configurent fréquemment un transfert silencieux vers une adresse externe (Gmail : Paramètres → Transfert et POP/IMAP)
  6. Consultez le dossier Envoyés — cherchez les emails envoyés à votre insu, notamment à vos contacts

Pour le protocole de réponse complet, consultez notre guide des étapes à suivre si votre compte Gmail est compromis.

Si vous êtes verrouillé et ne pouvez pas entrer avec vos identifiants, le processus de récupération via votre email et téléphone de récupération enregistrés est votre seule option. C’est pourquoi établir ces options pendant que vous avez encore accès est la mesure préparatoire la plus importante que vous puissiez prendre. Consultez notre guide des options de récupération de compte Gmail pour les instructions de récupération étape par étape.

Checklist de prévention

Travaillez cette checklist dans l’ordre — elle priorise par impact, pas par facilité. Chaque étape s’appuie sur la précédente. L’objectif est de compléter les trois premiers éléments avant tout le reste.

Niveau 1 — À faire aujourd’hui (impact maximal) :

  • Activer une clé d’accès ou une clé de sécurité physique sur votre compte email principal
  • Changer votre mot de passe email pour une chaîne unique générée aléatoirement (avec un gestionnaire de mots de passe)
  • Vérifier que votre email et téléphone de récupération sont à jour et accessibles

Niveau 2 — À faire cette semaine :

  • Activer les alertes de connexion pour les nouveaux appareils
  • Vérifier et fermer les sessions actives non reconnues
  • Auditer les applications tierces connectées — révoquer tout ce qui n’est pas utilisé
  • Vérifier votre adresse email sur HaveIBeenPwned.com
  • Activer la double authentification sur votre gestionnaire de mots de passe lui-même (appareil différent de celui de votre double authentification email)

Niveau 3 — À faire ce mois-ci :

  • Changer les mots de passe de tous les comptes utilisant le même mot de passe que votre email
  • Définir un rappel trimestriel dans votre calendrier pour refaire cette checklist
  • Vérifier les règles de transfert et les filtres d’email pour tout ce que vous n’avez pas configuré
  • Si vous gérez plusieurs comptes, consultez notre guide sur comment gérer plusieurs comptes email pour une approche sécuritaire unifiée

Ce que ce guide ne couvre pas

Ce guide se concentre sur les comptes email grand public — Gmail, Outlook et les comptes personnels ou pour petites entreprises similaires. Il ne couvre pas la sécurité email en entreprise (configuration DMARC, DKIM, SPF pour les propriétaires de domaine), le durcissement des serveurs email, ni les politiques de sécurité d’entreprise. La CNIL recommande aux entreprises françaises de mettre en oeuvre ces mesures techniques pour les systèmes de messagerie professionnels.

Pour les profils à très haut risque — journalistes, militants, dirigeants ciblés par des acteurs étatiques — les conseils ci-dessus sont nécessaires mais insuffisants. Envisagez une modélisation des menaces dédiée et l’inscription de clés de sécurité physiques sur chaque service connecté.

Alexis Dollé, fondateur d'Email Tools
Alexis Dollé
Fondateur & Rédacteur en chef

Alexis Dollé, expert email depuis plus de 10 ans. Fondateur d’Email Tools. Je teste chaque client email et outil moi-même, puis j’en parle comme je l’expliquerais à un ami — sans jargon marketing, sans classements sponsorisés, chaque affirmation sourcée.

LinkedIn
Sources & références
  1. Rapport Verizon 2026 sur les violations de données (DBIR) — 77 % des violations liées au piratage impliquent des identifiants volés ou compromis ; 31 % des violations débutent par des vulnérabilités logicielles. verizon.com/business/resources/reports/dbir
  2. Index Passkeys de la FIDO Alliance — 53 % des personnes interrogées ont activé des clés d’accès sur au moins un compte (sondage 2025) ; réduction de 98 % des fraudes par prise de contrôle de compte mobile (étude de cas CVS Health) ; augmentation de 3 000 % des attaques de phishing alimentées par l’IA ciblant des identifiants (SlashNext 2024, cité par la FIDO Alliance) ; 36 % des utilisateurs ont eu au moins un compte compromis à cause de la réutilisation de mots de passe. fidoalliance.org/passkeys
  3. HaveIBeenPwned — 17,6 milliards de comptes compromis recensés dans 991 violations connues. Consulté le 19 mai 2026. haveibeenpwned.com
  4. Documentation d’assistance Google — Validation en 2 étapes — les clés d’accès et les clés de sécurité physiques protègent contre le phishing ; les codes SMS sont vulnérables aux attaques basées sur le numéro de téléphone. support.google.com/accounts/answer/185839
  5. Google — amélioration de 4x du taux de réussite de connexion avec les clés d’accès par rapport aux mots de passe. Source : Index Passkeys de la FIDO Alliance citant des données Google.

Questions fréquentes

Quelle est la mesure la plus efficace pour protéger son email du piratage ? Activer une clé d’accès (passkey) ou une clé de sécurité physique est la mesure la plus efficace. Contrairement aux codes SMS ou aux applications d’authentification, les clés d’accès sont résistantes au phishing par conception — elles reposent sur la cryptographie à clé publique liée à votre appareil et ne peuvent pas être interceptées ni rejouées par un attaquant. Combinée à un mot de passe unique généré par un gestionnaire, cette protection bloque la grande majorité des tentatives de prise de contrôle de compte.

L’authentification par SMS est-elle suffisante pour protéger un compte email ? L’authentification SMS est meilleure que l’absence de double authentification, mais elle est vulnérable aux attaques par échange de carte SIM (SIM-swap), où un attaquant convainc votre opérateur de transférer votre numéro. Pour un compte email — qui est la clé maîtresse de votre identité numérique — passez à une application d’authentification (TOTP) ou, idéalement, à une clé d’accès ou une clé de sécurité physique.

Comment savoir si mon email a déjà été compromis ? Vérifiez votre adresse sur HaveIBeenPwned.com, qui recense plus de 17,6 milliards de comptes compromis dans 991 violations connues. Consultez également le journal d’activité récente de votre compte — Gmail, Outlook et la plupart des fournisseurs affichent les dernières adresses IP et appareils qui ont accédé à votre compte. Des localisations ou sessions non reconnues sont un signal d’alarme clair.

Qu’est-ce qui rend les emails de phishing plus difficiles à détecter en 2026 ? Le phishing généré par l’IA a supprimé la plupart des signaux d’alerte traditionnels — fautes d’orthographe, formulations maladroites, formules de politesse génériques. Les emails de phishing modernes sont personnalisés, grammaticalement parfaits et référencent souvent un contexte réel récupéré sur LinkedIn ou les réseaux sociaux. Les indices fiables qui subsistent : le domaine de l’expéditeur (vérifiez avant de cliquer), les destinations de liens qui ne correspondent pas à ce qui est affiché, les injonctions à agir en urgence, et les demandes contournant les procédures habituelles.

Faut-il un mot de passe différent pour chaque compte email ? Oui — chaque compte doit avoir un mot de passe unique. Les attaques par bourrage d’identifiants utilisent des données volées lors d’une fuite pour les tester automatiquement sur des centaines de services. Un gestionnaire de mots de passe génère et stocke des identifiants uniques pour chaque compte, de sorte qu’une compromission d’un service ne peut pas se propager à votre email ou à d’autres comptes.

Que faire immédiatement si mon compte email est piraté ? Essayez d’abord de vous connecter et changez votre mot de passe immédiatement. Si vous êtes bloqué, utilisez le processus de récupération du fournisseur — c’est pourquoi configurer une adresse email et un téléphone de récupération à l’avance est si important. Une fois reconnecté : révoquez toutes les sessions actives, vérifiez les applications connectées et révoquez celles que vous ne reconnaissez pas, activez une clé d’accès ou la double authentification si ce n’est pas déjà fait, et consultez votre dossier Envoyés pour les messages envoyés à votre insu.

En rapport : Configuration de la double authentification Gmail — configuration étape par étape de la 2FA et des clés d’accès pour Gmail. Étapes si votre compte Gmail est compromis — actions immédiates si votre compte est violé. Options de récupération de compte Gmail — comment retrouver l’accès quand vous êtes bloqué. Comment gérer plusieurs comptes email — approche sécuritaire unifiée pour gérer plus d’une boîte de réception.