Aujourd’hui dans la catégorie retour d’expérience, je veux parler d’un sujet qui impacte chaque jour des entreprises sans pour autant utiliser un seul moyen technique complexe : j’ai nommé l’escroquerie aux faux ordres de virement (ou FOVI, pour les intimes).

Parce que la cybersécurité, ce n'est pas juste des hackers qui viennent mettre en œuvre des moyens techniques pour pénétrer sur votre réseau.

La cybersécurité c’est aussi l’ingénierie sociale : l'utilisation de moyens de manipulation des personnes pour obtenir d'elles des informations, ou leur faire effectuer des opérations frauduleuses en diminuant (fortement) leur capacité de jugement. On comprend pourquoi certains utilisent le terme "piratage psychologique".

En bas de l'article, vous trouverez quelques mesures pour limiter le risque ...

Au départ, je suis contacté par une PME de la région qui me dit qu'une manipulation d'un employé leur a fait perdre beaucoup d'argent, et qu'ils ont besoin de collecter rapidement des éléments techniques pour alimenter les enquêteurs suite à un dépôt de plainte.

Une fois sur place, je découvre le scénario dans son intégralité. Et avec l'accord des personnes concernées j'en partage le modus operandi pour que, peut être, ça puisse éveiller quelques consciences.

On pense trop souvent que ce type d'arnaque est facile à éviter, que ce n'est qu'un seul mail qu'il faut éviter. On va montrer que non.

Retour en arrière ... on déroule l'escroquerie depuis la première heure !

Jour 1 

8H30

• Le comptable reçoit un appel sur le téléphone fixe de son bureau. La personne se présente comme l'assistante d'un cabinet d'avocat, et souhaite savoir si elle est bien prévenue du dossier de rachat en cours. Réponse négative du comptable, et réaction très gênée de la personne en face qui dit qu'elle pensait que c'était le cas, qu'elle a fait une erreur en parlant du dossier, et de ne pas en tenir compte

8H45

• Le comptable reçoit un appel du directeur de la société. C'est bien lui, et c'est bien sa voix et même son ton habituel, même si la qualité de la ligne n'est pas excellente !

• L'objectif de l'appel est de prévenir qu'une opportunité se présente pour la société : un projet d'acquisition pour développer la société. On parle d'une entreprise régulée, de l'obligation légale de ne communiquer avec personne, d'une occasion à ne pas manquer. On échange aussi sur la la confiance qu'on fait au comptable et sur la réactivité attendue.

• C'est tellement secret que le directeur précise qu'il va créer une adresse mail sécurisée pour gérer les échanges avec le cabinet d'avocat et le notaire. A partir de maintenant, plus question pour le directeur de poursuivre sur la messagerie d'entreprise.

9H00

• Le comptable reçoit un message du directeur depuis son adresse sécurisée en "@verysecuremail.com" (ce n'est pas ce domaine exact, mais c'est l'idée). Ce sera l'unique adresse à utiliser dans les échanges avec lui.

9H30

• Mail de prise de contact de l'avocate d'un cabinet très connu. L'adresse mail est proche de la vraie, du type "@cabinetconnu-ville.com". Le texte est assez long, donne des informations assez floues sur le type d'acquisition, mais remet l'accent sur le besoin de confidentialité, sur les conséquences d'une fuite d'informations et sur le besoin de communiquer uniquement sur une liste d'adresses bien définies. Interdiction d'en parler au bureau car les murs ont des oreilles. On restera à l'écrit pour les points importants.
• L'avocate précise être en réunion, demande les disponibilités du comptable pour un échange qui servira à décrire le processus. Rendez-vous est pris pour l'après-midi même, copie des échanges au directeur.
• Le directeur répond que c'est parfait.

14H00

• L'avocate contacte le comptable sur son téléphone mobile. Le numéro d'appel est bien une ligne fixe française, et la communication dure plus de 45 minutes. Beaucoup de termes techniques, de rappels des exigences légales, du pouvoir de sanction de l'Autorité des Marchés Financiers, ... On apprend finalement peu, mais tout cela semble décidément très sérieux et important.
• Fin des contacts pour le premier jour.

JOUR 2

9H00

• L'avocate contacte le comptable et précise les montants en jeu. Avec toujours et encore le rappel sur la confidentialité. Il rédige dans la foulée un mail de synthèse qui remercie le comptable.

• Quelques minutes après, le notaire entre en jeu. Il explique que tout est en ordre et que rien ne fait obstacle à la vente, selon lui. Il précise le calendrier des opérations à venir, le montant de l'acompte à verser et termine en demandant si le directeur souhaite maintenir son offre.

9H35

• Le directeur répond qu'il maintient son offre.

10H30

• L'avocate envoie les informations qui vont permettre le règlement. En deux virements idéalement. Le RIB est celui d'une banque Française, le nom de la société existe.

• Le mail est doublé d'un appel sympathique, pour vérifier la bonne réception, s'assurer que tout est clair et dire qu'elle reste disponible en cas de problème.
• Le directeur valide l'ordre quelques minutes après, par mail.

11H00

• Le comptable passe les deux ordres de virement et envoie un mail pour notifier l'avocate.

• Il confirme aussi les ordres avec la banque.

12H00

• La capture d'écran des ordres est envoyée par le comptable "pour rassurer le vendeur".

• Remerciement de l'avocate par mail, suivi d'un appel pour féliciter de l'efficacité et expliquer qu'il faut juste un peu de patience le temps de finaliser le dossier, nouvelle rappel sur le besoin de confidentialité. Il ne faudrait pas faire rater le dossier en parlant maintenant ...

Le week-end passe...

Le lundi suivant, comptable et directeur se retrouvent au bureau et découvrent ensemble l'énormité de la situation. On imagine l'incompréhension, puis le moment de sidération. Le choc.

Ne reste plus qu'à contacter la banque en urgence, et faire un dépôt de plainte.

A nouveau, cette histoire n'est pas fictive ! une PME de la région a bien perdu une somme très conséquente sans qu'à un seul instant le système informatique soit attaqué. Pour autant, c'est une situation on ne peut plus réelle, concrète et violente. Sans même parler de la culpabilité ressentie par le comptable et de l'effet sur l'équipe.

Est-ce qu'on le comptable aurait pu se douter de quelque chose ? Si on aime refaire le match après, la réponse est oui. Mais refaire le match c'est toujours facile une fois qu'il est terminé.

Ici, le niveau de sophistication de la manipulation est élevé. Quand bien même la situation semble irréelle, tout a été fait pour créer un effet tunnel qui enlevait tout prise de recul et ne permettait plus de percevoir certains signaux pourtant importants.

Personne ne connait un comptable qui fait le moindre règlement sans facture ou document associé ! Pas plus que l'on connait un comptable qui viderait les comptes de la société sans demander confirmation. Moi pas en tout cas.

Et pourtant ...

D'un professionnel consciencieux, on a fait une personne qui a totalement perdu son regard critique et a oublié la totalité des réflexes qui conditionnent habituellement son quotidien.

La succession rapide des appels et des mails, la pression temporelle, les injonctions au silence et les référence aux risques juridiques ne laissait pas beaucoup de place à la réflexion. Surtout qu'à coté de ce dossier, il y a le quotidien à gérer, c'est donc noyé dans beaucoup d'autres sujets.

Ces arnaques, il s'en déroule chaque jour en France et ailleurs. Parfois elles prennent une forme un peu moins sophistiquée et souvent elles ne réussissent pas, pourtant il est urgent et important d'être vigilant.

Il existe d'ailleurs des solutions pour mieux résister !

Pour cela il faut mettre en place des mesures de protection

Voici quelques pistes à considérer dès maintenant :

• Sensibiliser les employés à ce type de risque. On entend chaque jour parler d'une affaire de ce style, pour autant on pense toujours que ça n'arrive qu'aux autres. Chacun doit se sentir concerné et avoir conscience qu'il est le principal rempart contre ces attaques.
• S’assurer de la mise en place de procédures claires, avec des règles d’authentification des émetteurs et de confirmation des demandes de virement imprévue. Et toujours sur les moyens habituels de communication, pas sur des adresses tierces.
• Généraliser le contre appel pour toute demande. On ne se contente pas d'un appel entrant, on initie un appel soi-même vers le demandeur. Et si ça ne répond pas, alors on temporise (si vraiment c'est important, votre interlocuteur saura trouver du temps pour vous).
• Pour les demandes internes, on peut s'accorder sur un mot code pour authentifier les donneurs d'ordres quand le présentiel n'est pas possible. Attention à ne pas choisir une information publique ou que vous pensez privée. Choisissez plutôt un mot improbable qui n'a pas sa place dans une conversation courante. Oui, ce n'est pas naturel de demander à quelqu'un qu'on connait bien de donner un code, mais puisqu'il n'est plus possible de savoir que vous lui parlez vraiment (rappelez-vous l'IA vocale).
• S'accorder sur des montants qui vont exiger une double validation sans aucune dérogation possible. Même un DAF ou un directeur ne doit pas pouvoir passer un ordre seul, ça ne concerne pas seulement les gens à plus bas niveau.
• Mettre en place des mots de passe forts pour les comptes de messagerie et activez la double authentification.
• Limiter la publication d’informations (site Internet, réseaux sociaux…) permettant d’identifier et de contacter vos collaborateurs habilités.

En conclusion : la cybersécurité, ce n'est pas seulement de la technique.

C'est aussi la prise en compte du facteur humain et la sensibilisation de chacun pour renforcer le niveau de préparation. L'objectif : faire de chaque employé un maillon fort.

N'attendez pas !

Lisez aussi la page dédiée sur le site cybermalveillance.gouv.fr