Bonjour,

Je m'occupe à mon humble niveau de l'information d'une TPE.

1 boss, et 2 salariés.

Ce n'est pas ma fonction principale, mais ça marche bien depuis 15 ans, et nous n'avons jamais rencontré le moindre problème.

Voici comment nous fonctionnons niveau mail :

- 3 pc sous windows 10 + 1 tablette surface sous windows 10 + 1 iphone.
- 2 pc et la tablette avec Outlook (mini 2016, voir 2019).
- 1 pc accède aux mails uniquement en ligne (Gmail via l'offre payant Gsuite, l'offre Gsuite est pour la totalité des comptes de l'entreprise, nous avons notre propre nom de domaine)

Les pc avec outlook ont un "connecteur" Gsuite/Outlook pour que tout soit synchronisé.

Nous n'avons pas d'antivirus, hormis celui intégré à windows 10.

Nous avons comme seul parefeu, celui de notre livebox business (attention on n'est pas en offre OBS, mais Orange Pro optimale).

Aujourd'hui, mon boss a reçu un mail avec "nom expéditeur" celui d'une connaissance très proche, et en adresse email un tiers inconnu...

L'objet de ce message est "bizarre" : [AV:Warning] RE: audit

Quand on déroule le message et qu'on le lit avec Gmail en bas il y a ça :

Document supprimé du message original
--------------------------------------

Ce texte vient en remplacement du contenu initial du document
joint au message que vous avez reçu.

Le document original envoyé par l'expéditeur contenait un ou
plusieurs virus :

   Mal/DocDl-K

Cet avertissement a été inséré automatiquement parce que soit
l'expéditeur, soit vous destinataire du message, disposez
d'une option "anti-virus de messagerie" liée à une offre Internet
Entreprises de France Télécom.

Or ce qui est aussi bizarre c'est que cette mention ne figure pas sur le même email quand il est lu avec outlook...

La personne proche que nous avons contacté a elle même contacté le gestionnaire de son logiciel métier qui dit que c'est nous qui avons un virus...

J'ai un gros doute mais bon... Pour moi ce serait plutôt l'expéditeur tiers du message dont l'adresse figure dans la source qui aurait le virus...

Qu'en pensez vous ?

Pour l'instant je passe l'anti virus de façon complète.

Avez vous besoin que je vous post la source complète du message, j'ai regardé rapide, rien ne me semble suspect, mais pour le coup, je ne suis pas expert 

Merci pour votre aide.

idéalement il faudrait que tu poste les entêtes du message en dégageant les données perso (genre tu mets des étoiles dans les adresses mail et les nom de domaine et dernier digit d'ip)

Les en-têtes avec Gmail et les en-têtes avec Outlook de préférence (éventuellement le contenu pour la partie qui n'est pas confidentielle), en précisant quoi est quoi.

Pour avoir les en-têtes avec Gmail, il faut aller dans le menu lié au message et cliquer sur « Afficher l'original ».

Ensuite, tu peux le poster ici encadré dans des balises [code][/code].

Bonjour à tous et merci pour votre réactivité.

Je ne sais pas si j'ai masqué correctement les IP... 

Je vous fais la même dès que je peux depuis Outlook (ce n'est pas sur mon poste).

Voici le message "original Gmail" :

Delivered-To: NOUS@NOUS
Received: by 2002:ab4:a64e:0:0:0:0:0 with SMTP id fa14csp153926ecb;
        Tue, 22 Sep 2020 22:07:59 -0700 (PDT)
X-Received: by 2002:a05:600c:4108:: with SMTP id j8mr4463396wmi.116.1600837439117;
        Tue, 22 Sep 2020 22:03:59 -0700 (PDT)
X-Google-Smtp-Source: ABdhPJzVHkTwSZ6LpyHvc0qPL1Y805pnnZhpa2AheNl2ac4vx7+rk7k4Buj+56xCGOiPOTZiwnlj
X-Received: by 2002:a05:600c:4108:: with SMTP id j8mr4463315wmi.116.1600837437697;
        Tue, 22 Sep 2020 22:03:57 -0700 (PDT)
ARC-Seal: i=1; a=rsa-sha256; t=1600837437; cv=none;
        d=google.com; s=arc-20160816;
        b=wOjq2uS4kjQhDM/k4iMCrsgnu+KUTbQj8K4wTR+pxGUJ9NGBZIDZxrI3/++ZMOW2Dx
         iSm2mPyutXTYyN8Wqr4Qia7Jt2wvfkBN0Q/nMh+5aKsAaWkBbHzp2fn3HZ4jJdDeyeC/
         HR0/z5JgnnPcTZbEPW2we471Pma/iykps+C+xeq5/dq3B8gZqJqbk4dRlIsqIyvCfbJP
         Oh3HvOPZj/dExR2AyEmQMdPhmKWRZ+YRzONqbz5W9TlGVtPvgOaPjlT2e3FPD5fxjB9/
         B9z9pIuK+Q3vijk96XuWIvagepNjURlY7zCk7DIWeTB2+IYnfJkDq8DdoGZ/4B7rv6rR
         PluA==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
        h=mime-version:subject:to:from:date:message-id;
        bh=EHsaZRztCUVI3LnAuFE9xMQgnGqb96bo8QSAOT4kfdE=;
        b=nw/WR0OnMTayV/J+oBGuUsny5YIaOg1qCBQc3QCK5CXab5yX/iJsr181n98RtRdtEk
         xElxHkymnNnD9DiWpFsZEH4Ki2SiajbRuetjCH3jj1RCapt1BEy1byeu8m3Y8Mh/Qun/
         jRCUc+VAL7gluEn/I6BrJ29gA1h5uVj+Y6k/KnNSVpn3cNqZpQ9nL0rAf2XrlziwSfqb
         aY09m5nsJSUn19URv7BTQ1MH0p9hHtBm8RWK0dfnV0BM69BSEOfEyvCBQ08iBQJvmFsc
         LLVqJE3DNtkmvX5bacz/wTpqM5v+AQ2ppBooTQZcCO8IAcvXKGiV04mNpA2xhp8zMxhx
         R/Nw==
ARC-Authentication-Results: i=1; mx.google.com;
       spf=neutral (google.com: 62.161.4.28 is neither permitted nor denied by best guess record for domain of EXPEDITEUR TIERS@TIERS) smtp.mailfrom=EXPEDITEUR TIERS@TIERS
Return-Path: <EXPEDITEUR TIERS@TIERS>
Received: from smtp28.msg.oleane.net (smtp28.msg.oleane.net. [62.161.4.XX])
        by mx.google.com with ESMTP id t1si16784980wrv.357.2020.09.22.22.03.57
        for <NOUS@NOUS>;
        Tue, 22 Sep 2020 22:03:57 -0700 (PDT)
Received-SPF: neutral (google.com: 62.161.4.XX is neither permitted nor denied by best guess record for domain of EXPEDITEUR TIERS@TIERS) client-ip=62.161.4.XX;
Authentication-Results: mx.google.com;
       spf=neutral (google.com: 62.161.4.XX is neither permitted nor denied by best guess record for domain of EXPEDITEUR TIERS@TIERS) smtp.mailfrom=EXPEDITEUR TIERS@TIERS
Received: from [43.252.233.249] ([43.252.233.240]) (authenticated) by smtp28.msg.oleane.net (MSA) with ESMTP id 08N53OAm021919 for <NOUS@NOUS>; Wed, 23 Sep 2020 07:03:32 +0200
Message-Id: <202009230503.08N53OAm021919@smtp28.msg.oleane.net>
X-Oleane-Rep: REPA
Date: Wed, 23 Sep 2020 13:03:38 +0800
From: [b]NOM NOTRE CONNAISSANCE PROCHE[/b] <EXPEDITEUR TIERS@TIERS>
To: "NOUS@NOUS" <NOUS@NOUS>
Subject: [AV:Warning] RE: audit
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="--10815345239508928110731792979076294"
X-Backend: vm-smtp-sophos-mta61
X-PFSI-Info: PMX 6.4.9.2830568, Antispam-Engine: 2.7.2.2107409, Antispam-Data: 2020.9.23.45417, AntiVirus-Engine: 5.77.0, AntiVirus-Data: 2020.9.13.5770003 (Mal/DocDl-K)
[b]X-PMX-VirusScan: INFECTED (Mal/DocDl-K)[/b]
X-PMX-Backend: PMX 6.4.9.2830568, Antispam-Engine: 2.7.2.2107409, Antispam-Data: 2020.9.23.45417, AntiVirus-Engine: 5.77.0, AntiVirus-Data: 2020.9.13.5770003 running on vm-smtp-sophos-mta61
X-Spam-Level: XXXXX
X-Spam-Flag: NO
X-PMX-Spam: Probability=56%
X-PMX-SpamScan: NO 56% XXXXX
X-Orange-Auth: YXVyZWxpZS5nZXN0aW9uc2FnYUBjaXRyb2VuLWdpc29ycy5mcg==

----10815345239508928110731792979076294
Content-Type: multipart/related; boundary="--1509339025314491060984247787026516"

----1509339025314491060984247787026516
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

<html>
<head>
<meta http-equiv=3DContent-Type content=3D"text/html; charset=3Dutf-8">
</head>
<body>
<br>
<br>
<br>
<br>
<br>
NOTRE CONNAISSANCE PROCHE
<br>
NOTRE CONNAISSANCE PROCHE@NOTRE CONNAISSANCE PROCHE
<br>
<br>
<br>
<br>
<pre>

XXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXX

<p class=3D"MsoNormal"><a href=3D"mailto:XXXXXXXXXXXXXXXX">XXXXXXXXXXXXXXXXXXXXX</a><o:p></o:p></p>
<p class=3D"MsoNormal"><a href=3D"XXXXXXXXXXXXXXXXXXXXXX</a><o:p></o:p></p>
</div>


</pre>
</body>
</html>
----1509339025314491060984247787026516
Content-ID: <image001.jpg@01D46ABF.92F5B120>
Content-Type: image/jpeg; name="image001.jpg"
Content-Transfer-Encoding: base64
Content-Disposition: inline; filename="image001.jpg"


----1509339025314491060984247787026516--
----10815345239508928110731792979076294
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit

Document supprim� du message original
--------------------------------------

Ce texte vient en remplacement du contenu initial du document
joint au message que vous avez re�u.

Le document original envoy� par l'exp�diteur contenait un ou
plusieurs virus :

   Mal/DocDl-K

Cet avertissement a �t� ins�r� automatiquement parce que soit
l'exp�diteur, soit vous destinataire du message, disposez
d'une option "anti-virus de messagerie" li�e � une offre Internet
Entreprises de France T�l�com.

----10815345239508928110731792979076294--

bonjour, ok merci.

Peux tu me dire si c'est "NOUS" qui avons eu le hack ou si c'est EXPEDITEUR TIERS (ce que je suppute depuis le début, mais vu que le gestionnaire du logiciel métier de la "PERSONNE PROCHE" dit que c'est nous, je préfère en avoir le coeur net...

A noter que ce gestionnaire n'a jamais eu l'email en question puisque notre CONNAISSANCE PROCHE ne l'a pas eu et n'a pas donc pu lui transmettre.

Peux tu me dire si c'est "NOUS" qui avons eu le hack ou si c'est EXPEDITEUR TIERS (ce que je suppute depuis le début, mais vu que le gestionnaire du logiciel métier de la "PERSONNE PROCHE" dit que c'est nous, je préfère en avoir le coeur net...

par rapport à ce que je comprends pour moi c'est expéditeur tiers.

@jeremyp3, oui il semble bien que l'expéditeur tiers a notre connaissance proche dans son carnet d'adresse.

Dans le cas présent, il semblait s'agir d'une réponse à un précédent mail. L'échange initial datait de 2018 si j'ai bien vu.
Encore plus simple pour trouver l'adresse mail

Quoiqu'il en soit, cette IP de Malaisie est bizarre.
Votre connaissance proche était-elle en Malaisie ?
A-t-elle voulu envoyer ce mail ? Est-il dans la boîte des envoyés ?