La coopération internationale bat son plein contre les cyber-escrocs. Après le démantèlement du réseau de ransomwares Hive, c’est au tour d’un groupe spécialisé dans l’arnaque au président d’être neutralisé par les autorités internationales. Vendredi 17 février 2023, le parquet de Paris a révélé l’interpellation de 8 personnes – 6 arrestations ont eu lieu en France, 2 en Israël – soupçonnées d’avoir mis sur pied une vaste fraude à l’encontre de 2 entreprises tricolores pour un préjudice total de 38,3 millions d’euros.
« Cette attaque peut concerner toutes les entreprises, quels que soient leur taille et leur secteur d’activité », souligne la Cnil qui a consacré un article à cette escroquerie récurrente. Dans son panorama de la cybermenace publié en début d’année, l’Anssi précise également que les « activités criminelles autres que les rançongiciels telles que les arnaques se sont maintenues » en 2022. Alors, qu’est-ce que l’arnaque au président et comment s’en prémunir ?
D’où ça vient ?
Il est possible de dater précisément les premières arnaques au président, apparues en 2005. Et pour cause, elles sont le fait d’un escroc bien connu, Gilbert Chikli. Durant plusieurs mois, l’homme s’est fait passer pour le président de plusieurs grandes entreprises (La Poste, Disneyland Paris ou la Caisse d’Épargne, notamment) afin d’obtenir de cadres hauts placés de ces entreprises qu’ils réalisent des versements conséquents, en liquide ou par virement. Au total, il parviendra à dérober plusieurs dizaines de millions d’euros en réceptionnant les différents paiements.
En quoi ça consiste ?
Gilbert Chikli a fait des émules et les arnaques au président se multiplient. Elles combinent plusieurs techniques lors de différentes étapes, dans un schéma qui se répète :
- L’ingénierie sociale : les escrocs compilent un certain nombre de données sur l’entreprise ciblée (fournisseurs, banque, noms des interlocuteurs, procédures internes de vérification des opérations…). Cela leur permet de rendre leurs demandes crédibles grâce à des éléments de contexte qui mettront leurs interlocuteurs en confiance – et contribueront à faire baisser leur vigilance.
- L’usurpation d’identité : les escrocs se font passer pour une figure d’autorité, en général le dirigeant de l’entreprise, auprès d’un salarié, de sorte qu’il ne se méfie pas du caractère à la fois inhabituel et urgent de la demande de paiement.
- Le typosquattage : les escrocs parviennent le plus souvent à infiltrer les réseaux de l’entreprise pour envoyer des e-mails depuis la boîte de la personne dont ils ont usurpé l’identité, renforçant la confiance de la victime – et rendant l’arnaque indétectable par les logiciels traditionnels de cybersécurité. Mais ils peuvent également avoir recours au typosquattage en mettant sur pied un site miroir de celui de l’entreprise, de sa banque ou d’un de ses fournisseurs pour ensuite mener à bien leur fraude.
- Le phishing : grâce à des échanges d’abord anodins, les escrocs mettent en confiance la victime tout en compilant davantage d’informations sur l’entreprise, avant d’exiger un virement qui ne doit pas passer par les procédures classiques de vérifications internes. Au cours de ces échanges, ils peuvent en profiter pour récupérer, en plus des sommes versées, des données cruciales : financières, bancaires ou personnelles.
Les variantes
Plusieurs variantes de l’arnaque au président existent. Les escrocs peuvent ainsi se faire passer pour le banquier ou un avocat de l’entreprise et exiger le paiement de factures via un compte qu’ils transmettent à la victime. Mais aussi un fournisseur, en demandant un changement de RIB pour le paiement des factures – le nouveau RIB permettant en fait aux arnaqueurs de mettre la main sur les fonds.
Quelles conséquences ?
Elles sont principalement financières : une fois les sommes virées, difficile de (re)mettre la main dessus. Une fraude réussie peut aussi ternir durablement la réputation de l’entreprise victime et amoindrir la confiance de ses investisseurs, partenaires, fournisseurs et clients. Une fraude déjouée n’en est pas moins préjudiciable : comme l’explique Sylvain Jourdy, PDG de Lojelis qui a été victime d’une cyberattaque similaire, les escrocs peuvent paralyser certaines opérations si leurs manœuvres soulèvent des interrogations.
Comment se protéger ?
À chaque technique utilisée par les pirates son remède. Contre l’ingénierie sociale et le phishing, rien n’égale la prévention. De la formation à des campagnes de sensibilisation, de nombreux moyens existent pour doper la méfiance des collaborateurs et les inciter à se poser des questions en cas de demandes sortant de l’ordinaire.
Contre l’usurpation d’identité, des procédures d’authentification sont nécessaires pour verrouiller au maximum l’accès à la messagerie et aux applications-clés de l’entreprise. Des mots de passe forts, générés aléatoirement et non réutilisés, voire des méthodes d’authentification par biométrie ainsi que des systèmes de double authentification doivent être privilégiés.
L’entreprise doit aussi surveiller le typosquattage, en effectuant une veille sur les noms de domaines les plus proches du sien, voire en les préemptant.
Enfin, les entreprises peuvent échanger avec leur banque pour mettre en place des alertes en cas d’opérations extraordinaires : les établissements bancaires sont tenus à un devoir de vigilance, qui nécessite de mettre en garde leurs clients en cas d’opérations suspicieuses. Et peuvent être mis en cause pour négligence en cas de fraude qu’ils auraient manifestement dû détecter.