(Tribune) Cyber-sécurité : la validation des virements par fax va disparaître et ce n'est qu'une étape !
Au coeur du stratagème des escrocs, la confirmation de virement par fax constitue une faille pour la sécurité financière des entreprises. Les banques ont donc décidé de l'abandonner en 2016 et de la remplacer par la validation par le portail bancaire ou la signature électronique.
Je m'abonneLe nombre de cyber-attaques recensées dans le monde a progressé de 38% en 2015, selon une étude PwC1. La France est particulièrement concernée (51% sur la même période). Face au développement de la mobilité, du cloud et de la transformation numérique au sein des entreprises, certains process doivent évoluer, pour les aider à se prémunir contre ce phénomène. La menace pèse sur l'accès à la trésorerie, le vol de données et l'usurpation d'identité de l'entreprise. Les virements frauduleux sont l'une des attaques les plus coûteuses pour les entreprises. Une faille subsiste : la validation du virement par fax. Ce processus consiste, pour les entreprises, à valider leurs demandes par fax, après avoir transmis électroniquement leurs fichiers de paiement aux banques.
La France est l'un des rares pays européens à disposer de ce système archaïque et aisé à pirater. En 2016, sur décision des banques, la validation du virement par fax va progressivement être remplacée par un dispositif plus sécurisé. Dans la droite ligne du SEPA, cette mesure n'est qu'une étape dans le vaste dispositif qui sera déployé en 2016 autour de l'identité électronique, pour sécuriser les entreprises, face à la recrudescence de la cyber-criminalité. Décryptage et explications.
Fraude aux paiements : quelles cibles pour quel coût ?
En France, pour la seule fraude aux paiements, l'Office central pour la répression de la grande délinquance financière (l'OCRGDF) a recensé un préjudice global de 300 millions d'euros depuis 20102. Une étude PwC sur la criminalité financière indique que celui-ci peut s'élever entre plusieurs dizaines de milliers, voire de millions d'euros, par entreprise. Les petites et moyennes entreprises (PME) ne sont pas épargnées par la fraude, tout en ayant moins de moyens pour s'équiper en dispositifs de prévention et de détection. Toutes les entreprises, quel que soit leur secteur d'activité ou leur taille, sont susceptibles d'être touchées.
Typologies de fraudes : les tests du service bancaire ou le virement au président
Les tests du service bancaires et "la fraude au président" sont les plus courantes. Elles reposent sur la connaissance parfaite d'informations clés sur les entreprises, de la part des escrocs. Il est très facile pour eux de se procurer des données personnelles sur le dirigeant et l'organisation d'une entreprise, via son site internet et les réseaux sociaux. Aucun détail n'est ignoré, de la personnalité des dirigeants aux signatures officielles.
Dans le cas de la fraude par test bancaire, l'escroc se fait passer pour un interlocuteur de la banque, afin d'obtenir des informations confidentielles (codes d'accès, mots de passe). Il demande ensuite à l'entreprise de réaliser des connexions, des mises à jour ou de faire des virements tests au montant élevé. Le fraudeur confirme la demande par de faux mails ou fax, allant même jusqu'à demander aux opérateurs télécom de rediriger les lignes des standards vers leur numéro, rendant inopérants les contre-appels de vérification.
La fraude au président nécessite une ingénierie sociale encore plus poussée en amont. Pour être crédibles, les cybercriminels ciblent les sociétés travaillant avec des fournisseurs étrangers. La destination finale de ces transferts se situe généralement auprès de banques asiatiques. L'étape suivante consiste, pour l'escroc, à se faire passer pour le p-dg ou tout autre cadre dirigeant auprès d'un employé du service comptabilité ou trésorerie de l'entreprise. L'escroc prétend devoir réaliser une opération exceptionnelle, confidentielle et extrêmement pressante, telle qu'une acquisition de parts de marché, une OPA ou éviter un redressement fiscal.
L'opération nécessite prétendument de faire un virement vers un compte bancaire étranger dans l'urgence, de préférence avant midi ou un week-end. La requête paraît authentique au comptable, l'escroc étant très sûr de lui, s'exprimant comme le dirigeant. Pour induire en erreur le comptable, l'escroc peut utiliser des numéros de téléphone ayant l'apparence de numéros locaux, alors qu'il téléphone via des plateformes. Convaincu, le comptable émet alors l'ordre de virement auprès de la banque, qui demande automatiquement que toute requête soit validée par fax ou par mail. C'est à ce stade que la fraude se concrétise. Il existe même des services comme le "mail to fax", proposant d'envoyer jusqu'à 100 fax à partir d'une boîte mail, facilitant ainsi la duperie des entreprises et des banques.
NEWSLETTER | Abonnez-vous pour recevoir nos meilleurs articles
La rédaction vous recommande