Cyberarnaques : Des dizaines d’entreprises françaises visées par une « fraude au président »

Temps de lecture : 4 minutes

Un chercheur en sécurité informatique a découvert une vague de tentatives d’escroquerie qui montre que la « fraude au président », classique de la cybercriminalité, a encore de beaux jours devant elle.

Le courriel, reçu le 8 juillet par une petite entreprise de chaudronnerie, semblait anodin. Dans un français parfait, ce qui semble être un agent du ministère des finances y réclame des informations « dans le cadre d’une enquête » en lien avec « le pacte de stabilité et de croissance avec la commission européenne ». Le fichier PDF joint a tout d’un vrai : l’en-tête de la direction générale des finances publiques, le bandeau tricolore, les articles du livre des procédures fiscales cités en exemple, arides et autoritaires.

Le fait que cet agent du fisc réclame à cette entreprise les détails sur « chacun de [ses] trois principaux clients » et notamment des factures « n’ayant pas été réglées » aurait dû susciter la méfiance. Tout comme l’adresse e-mail à laquelle faire parvenir les informations, qui se termine en « .cloud ». Mais il y a cette « amende fiscale » en cas de « refus de coopération » : alors, à la lecture, l’employé qui a reçu ce message s’est diligemment exécuté. Mais il a alors, à son insu, donné de précieux renseignements non pas au fisc, mais à d’ingénieux pirates. Article réservé à nos abonnés Lire aussi « Allô ? C’est votre président… »

La chaudronnerie en question, située près de Bourgoin-Jallieu (Isère), fabrique des pièces techniques pour des industries de pointe, notamment la filière nucléaire. Parmi ses clients, de grands noms, comme Framatome, le Commissariat à l’énergie atomique, Air Liquide ou Michelin. Le 27 juillet, un nom de site Internet qui ressemble comme deux gouttes d’eau à celui de la petite entreprise est créé par les escrocs.

Armés des informations fournies par leur victime, ils envoient des courriels à au moins une de ses entreprises clientes, l’informant d’un prétendu changement de compte bancaire. Désormais, selon ces courriels, les clients de la chaudronnerie doivent s’acquitter de leurs factures par un versement sur un nouveau compte, ouvert dans la banque italienne Banco BPM. Mais ce compte est contrôlé par les pirates, qui n’ont plus qu’à attendre les versements.

Changement de RIB

Cet épisode est un énième avatar de la « fraude au président » et plus spécifiquement de la fraude au changement de RIB, un classique de la cybercriminalité : il suffit aux pirates d’usurper une identité pour convaincre leur cible de leur virer des fonds. Cette fraude a cependant été détectée à temps par l’entreprise spécialisée en cybersécurité Trend Micro, qui révèle l’affaire dans un rapport publié mardi 6 octobre. Averties par ces spécialistes, les entreprises concernées ont pu déjouer l’arnaque.

Mais le chercheur de Trend Micro à l’origine de la découverte a pu ensuite établir que plus de 70 entreprises françaises, dont une majorité dans le secteur de l’industrie, avaient reçu un e-mail similaire ces derniers mois, imitant la direction des finances publiques. Il est fort probable que l’ampleur de l’opération soit bien plus importante, Trend Micro ne disposant de données que sur ses clients.

Par ailleurs, 25 noms de domaines ont été enregistrés depuis août 2019 en utilisant la même adresse e-mail que celle utilisée pour acheter celui qui ressemblait au nom de l’entreprise de chaudronnerie. Tous ces noms de sites sont conçus pour se rapprocher du nom de véritables entreprises et crédibiliser ainsi la demande de changement de coordonnées bancaires.

Parmi ces entreprises figurent des poids lourds comme Chronopost ou SFR mais aussi des cabinets de conseil, d’architectes, des entreprises du secteur de l’industrie ou encore le Fonds de garantie des dépôts et de résolution, l’organisme qui garantit les dépôts bancaires en cas de défaillance de la banque.

Combien d’entre elles ont, au bout du compte, envoyé des informations sur leurs partenaires ? Et combien de ces derniers sont tombés dans le panneau ? Il est, à ce stade, impossible de le dire. La justice pourrait remonter cette pelote de laine puisque, selon nos informations, les autorités françaises ont commencé, ces derniers jours, à se pencher sur le sujet.

« Tous les jours »

Si ce stratagème ne nécessite pas nécessairement un grand niveau technique, ce type de « fraude au président », une des plus anciennes formes de cybercriminalité, continue de faire des ravages. « Des fraudes comme celle-ci, il y en a tous les jours. Celle-là est d’une envergure particulière en termes de nombre d’entreprises visées », précise Cédric Pernet, chercheur chez Trend Micro et auteur du rapport.

Selon les chiffres du FBI, ce type d’escroquerie aurait permis de détourner, depuis 2013, plus de 26 milliards de dollars dans le monde. Au printemps dernier, la police de Dubai a interpellé, pour le compte de la police américaine, le chef d’un réseau spécialisé en la matière. Extradé aux Etats-Unis, il est accusé d’avoir détourné plusieurs centaines de millions de dollars, avec des « coups » de plusieurs dizaines de millions de dollars. Lire aussi Escroquerie au « faux Le Drian » : Gilbert Chikli condamné à onze ans de prison

« Si un groupe enregistre autant de noms de domaines depuis 2019, c’est parce que, de temps en temps, cela fonctionne pour une société et c’est suffisant pour rentabiliser toute l’opération », éclaire Cédric Pernet. D’autant que le recours accru au télétravail depuis le mois de mars, entraînant une diminution des échanges de visu, pourrait avoir rendu la tâche des pirates plus aisée.

En 2015, Gilbert Chikli, considéré comme l’un des pionniers de ce genre d’arnaques, avait été condamné en France à sept ans de prison et à un million d’euros d’amende. La justice française lui reproche d’avoir détourné près de 8 millions d’euros.

Le Monde

5 Commentaires

  1. Excellent article, merci beaucoup.
    Tous les ans, plusieurs entreprises ferment suite à ce genre d’arnaques.
    Il ne faut pas oublier l’espionnage (vol de fichiers de fournisseurs / clients, etc).

  2. Bon plan, quelques extensions de noms de domaine sympas, encore disponibles pour aller pêcher le gogo:

    https://uploads.disquscdn.com/images/93bd252a4cced1f89c50232387524e9ae6ed166363b8ca9b2197bcdec75cae32.jpg https://uploads.disquscdn.com/images/fde8a0378edf8962e062b614d93e3b060db666f62ac0eddface7ebde2bd2ffde.jpg

    Plus vrai que nature un http://www.amendes.paris ou http://www.service-public.paris, non?

    C’est 20 balles un .paris, et pour les “petits investisseurs” il y a le .digital, certainement déjà très efficace pour encaisser de fausses amendes 😉

    https://uploads.disquscdn.com/images/44e5025d7b41d3ea66ce4af817df66660d30272576a13ce75b97c72614999412.jpg

    • Moi, j’ai Netflix (où je n’ais pas de compte) et tout un tas de banques dont je ne suis pas cliente qui me réclament des renseignements 😀

      Je rigole en recevant ces mails.

    • Moi, j’ai Netflix (où je n’ai pas de compte) et tout un tas de banques dont je ne suis pas cliente qui me réclament des renseignements 😀

      Je rigole en recevant ces mails.

      • Ah oui, j’ai aussi plein de colis en attente. Quelque chose que j’avais commandé il y a plusieurs semaines (quoi, je ne sais pas…) et on me demande de cliquer sur un lien pour récupérer les infos et aller le chercher.

        Là aussi, bonne barre de rire.

Les commentaires sont fermés.