La méthode n’est pas nouvelle, mais nous observons une recrudescence de TPE et PME victimes de cette arnaque, qui peut leur faire perdre plusieurs dizaines de milliers d’euros !

L’objet de cet article n’est pas de stigmatiser les victimes, mais d’illustrer par des cas concrets les formes que peuvent revêtir cette arnaque, afin d’éviter à d’autres entreprises d’allonger la liste des victimes. Car contrairement aux idées reçues, il est plus rentable de s’attaquer à des PME qu’à une grande entreprise.

Si le principe de l’arnaque au changement de RIB est simple, sa mise en œuvre est quant à elle de plus en plus sophistiquée.

Le principe de cette arnaque est d’amener une entreprise à modifier le RIB de l’un de ses fournisseurs, en se faisant passer pour ce fournisseur, pour obtenir finalement le virement de sommes réellement dues au fournisseur sur ce nouveau compte bancaire.

Autrement dit, amener l’entreprise victime à effectuer le paiement d’une ou plusieurs factures de l’un de ses fournisseurs habituels, mais vers un compte bancaire n’ayant aucun lien avec ce fournisseur.

Et si vous pensez que vous ne vous laisseriez pas prendre, je vous invite à lire les détails dans cet article que j’ai publié sur le blog de sécurité SECURID, vous pourriez être surpris…

Lors de mes audits de cybersécurité, je constate que près de 100% des mots de passe des boites mail ne respectent pas les exigences dictées par la CNIL. Certes, ces exigences sont particulièrement contraignantes : en fonction des autres mesures de sécurité, il faut jusqu’à 12 caractères dont des chiffres, minuscules, majuscules et caractères spéciaux. Mais c’est un premier pas indispensable pour protéger une messagerie électronique.

Mes conseils :

1/ Tout changement de RIB ou de moyen de paiement devrait s’accompagner d’une vérification systématique, en utilisant les moyens de contacts connus en interne, sans faire confiance à celles données par l’interlocuteur.

2/ Porter attention aux « signaux faibles », ces petits indices susceptibles de vous mettre la puce à l’oreille est souvent salutaire : nouvel interlocuteur, urgence, pays différent…

3/ Ne conservez pas dans votre boite email accessible en ligne des messages dont vous n’avez plus besoin pour votre activité quotidienne… Ce qui au passage vous facilitera votre conformité RGPD. Plus vous conservez de l’historique de mails en ligne, plus un pirate disposera de données exploitables !

Werner KLINGER
Ingénieur Conseil Web & TIC.