Blog

Compromission de messagerie professionnelle : risques, exemples et prévention

DéBounce
Articles
23 min de lecture
Thèmes

Partagez cet article

Copier le lien

Points clés à retenir

  • Les attaques BEC réussissent grâce à l'usurpation d'identité et à l'ingénierie sociale seules, contournant la plupart des contrôles de sécurité techniques qui visent à détecter les codes malveillants ou les liens suspects.
  • Les auteurs d'attaques BEC effectuent des recherches approfondies sur leurs cibles en utilisant LinkedIn, les sites web des entreprises et les registres publics avant de rédiger des courriels d'usurpation d'identité convaincants, adaptés à de véritables relations d'affaires.
  • Les protocoles d'authentification (SPF, DKIM, DMARC) réduisent l'usurpation de domaine, mais la formation des employés et les procédures de vérification financière sont tout aussi essentielles car la fraude au président exploite spécifiquement la confiance humaine.

Votre responsable financier reçoit un courriel du PDG demandant un virement urgent avant la fin de la journée. Le message, signé du nom du PDG, fait référence à une transaction en cours et exige la plus grande discrétion. L'atmosphère est grave et urgente. Le responsable effectue le virement et découvre plus tard que le PDG n'a jamais envoyé ce courriel.

Il s'agit d'une compromission de messagerie professionnelle. Et c'est désormais la forme de cybercriminalité la plus dommageable financièrement. Le FBI Centre de traitement des plaintes liées à la cybercriminalité Les pertes liées aux arnaques aux faux ordres de virement (BEC) se chiffrent à plusieurs milliards de dollars pour la seule année 2023, et le chiffre réel est probablement plus élevé car de nombreux incidents ne sont pas signalés. La simplicité de ces arnaques rend le BEC particulièrement dangereux. Aucun logiciel malveillant n'est installé. Aucune faille de sécurité n'est exploitée. Il s'agit simplement d'une usurpation d'identité très convaincante et minutieusement préparée.

Comprendre ce qu'est une compromission de messagerie professionnelle, comment ces attaques se déroulent et quelles défenses fonctionnent réellement donne aux organisations une meilleure chance de protéger leurs comptes financiers, leurs données sensibles et leurs opérations essentielles contre le type de pertes que la fraude au président est conçue pour causer.

Qu’est-ce qu’une compromission de messagerie professionnelle ?

La compromission de messagerie professionnelle est une technique de fraude sophistiquée où les attaquants usurpent l'identité de personnes de confiance, notamment des dirigeants, des fournisseurs, des partenaires commerciaux et des collègues, par le biais du courrier électronique, afin de manipuler les employés et de les amener à prendre des mesures qui profitent financièrement ou informationnellement à l'attaquant.

Les attaquants n'ont pas besoin de compétences techniques pour pénétrer les systèmes ; ils ont besoin de suffisamment d'informations sur la structure, les relations et les processus d'une organisation pour concevoir des courriels d'usurpation d'identité crédibles, adressés à des employés habilités à transférer des fonds, à partager des données ou à modifier des informations de compte.

L'hameçonnage générique envoie des messages identiques à des milliers de destinataires choisis au hasard, dans l'espoir qu'un certain pourcentage se laisse berner. L'escroquerie au faux ordre de virement (BEC) fonctionne à l'inverse : un message soigneusement préparé, envoyé à une cible précise, usurpant l'identité d'une personne de confiance et faisant référence au contexte organisationnel réel.

Cette approche ciblée explique pourquoi l'escroquerie au faux ordre de virement (BEC) est à la fois plus efficace et plus coûteuse que le phishing classique. Elle fonctionne car les organisations reposent sur la confiance mutuelle via les courriels. Les employés traitent les demandes de paiement des dirigeants, répondent aux modifications de factures fournisseurs et partagent des informations avec des avocats ou des auditeurs sans toujours pouvoir vérifier les identités par d'autres moyens.

Comment fonctionnent les attaques par compromission de messagerie professionnelle

Les attaques BEC suivent une méthodologie structurée, depuis la recherche initiale jusqu'à l'exécution de la requête frauduleuse.

Comment fonctionnent les attaques par compromission de messagerie professionnelle

Étape 1 : Sélection et recherche de la cible

Les attaquants identifient les organisations et les individus spécifiques qu'il convient de cibler, généralement ceux qui détiennent un pouvoir financier (directeurs financiers, responsables de la comptabilité fournisseurs), un accès à des données sensibles (responsables RH, assistants de direction) ou un contrôle sur les relations avec les fournisseurs.

Les sources de recherche comprennent les profils LinkedIn illustrant la hiérarchie organisationnelle, les sites web des entreprises identifiant les dirigeants et leurs rôles, les communiqués de presse annonçant les partenariats et les accords, les médias sociaux révélant les programmes de voyage et les priorités actuelles, ainsi que les documents financiers publics indiquant la taille de l'entreprise et le volume des transactions.

Cette phase de recherche peut durer des semaines. Les attaquants cartographient les relations hiérarchiques, identifient les employés qui traitent les paiements, comprennent les relations avec les fournisseurs et recherchent les événements à venir, tels que les acquisitions, les audits ou les échéances fiscales, qui fournissent des prétextes crédibles pour des demandes urgentes.

Étape 2 : Prise de contrôle de compte ou usurpation de domaine

Les attaquants acquièrent la capacité d'envoyer des messages convaincants grâce à deux méthodes principales : la prise de contrôle de compte et l'usurpation de domaine.

Lors d'une prise de contrôle de compte, les attaquants compromettent un compte de messagerie légitime, souvent par hameçonnage, bourrage d'identifiants ou achat d'identifiants volés, et envoient des messages frauduleux depuis l'adresse réelle. Ces attaques sont les plus convaincantes car elles proviennent de comptes authentiques et de confiance.

Lorsque les attaquants n'ont pas accès au compte, ils utilisent des techniques d'usurpation d'identité. Ils peuvent recourir à l'usurpation du nom d'affichage, où le nom de l'expéditeur paraît légitime même si l'adresse électronique sous-jacente est différente. Dans d'autres cas, ils enregistrent des domaines similaires, tels que company-inc.com ou cornpany.com, qui ressemblent fortement au domaine réel et peuvent passer inaperçus lors d'une vérification superficielle.

Étape 3 : Ingénierie sociale et élaboration de messages

S’appuyant sur des recherches, les attaquants rédigent des messages qui paraissent authentiques. Ils font référence à des projets réels, à de véritables relations, à l’actualité économique et au style de communication de la personne usurpée. Les messages sont souvent brefs et professionnels, suffisamment longs pour convaincre, mais assez courts pour éviter toute incohérence.

Étape 4 : Exécution de la requête frauduleuse

Le message contient une requête conçue pour être traitée rapidement avec une vérification minimale : un virement bancaire vers un nouveau compte, le paiement d’une facture sur un compte bancaire modifié, le transfert de la paie des employés vers des comptes contrôlés par l’attaquant ou la transmission de données sensibles pour une raison apparemment légitime.

L'urgence et le secret sont des tactiques de pression courantes : « Traitez ceci avant la fin de la journée », « Ne suivez pas les voies habituelles », « Gardez cela confidentiel jusqu'à la conclusion de la transaction ». Ces demandes visent à empêcher les vérifications qui permettraient de déceler la fraude.

Types courants d'escroqueries BEC

Les attaques BEC prennent plusieurs formes distinctes, chacune ciblant des vulnérabilités organisationnelles différentes.

Types courants d'escroqueries BEC

Fraude au PDG

La variante la plus connue de l'escroquerie aux faux ordres de virement (BEC), l'usurpation d'identité du PDG, consiste pour les escrocs à se faire passer pour le dirigeant d'une entreprise afin de contraindre des employés subalternes à agir dans l'urgence. Un responsable financier reçoit par exemple un courriel semblant provenir du PDG, demandant un virement bancaire immédiat pour une acquisition confidentielle, en contournant les procédures d'approbation habituelles.

La fraude des PDG exploite la relation d'autorité entre dirigeants et employés. La plupart des gens ne remettent pas en question les demandes directes de leur PDG, surtout lorsqu'elles sont urgentes et accompagnées d'une demande de discrétion.

fraude à la facture du fournisseur

Les attaquants se font passer pour un fournisseur connu, informant l'organisation ciblée que ses coordonnées bancaires ont changé et demandant que les paiements à venir soient effectués sur un nouveau compte. Comme la communication fait référence à de véritables relations commerciales et à des échanges réguliers, elle paraît banale.

Cette variante est particulièrement efficace car le traitement des factures implique des communications régulières avec des parties externes, ce qui rend plus difficile pour les équipes de comptabilité fournisseurs de vérifier chaque modification par des canaux secondaires.

détournement de salaire

Les services des ressources humaines reçoivent des courriels semblant provenir d'employés demandant un changement de compte bancaire pour le versement direct de leur salaire. Si la demande est traitée, le prochain salaire de l'employé, voire plusieurs, sont versés sur le compte du pirate informatique au lieu de celui de l'employé.

Ces attaques ciblent les ressources humaines plutôt que la finance, exploitant le caractère routinier des demandes de modification de la paie que les équipes RH traitent régulièrement.

usurpation d'identité d'avocat

Les escrocs se font passer pour des avocats, des cabinets d'avocats ou des conseillers juridiques traitant de dossiers sensibles (fusions, acquisitions, questions de conformité ou litiges) et demandent des virements financiers urgents ou des informations confidentielles. Le recours à un argumentaire juridique réduit la propension des destinataires à poser des questions ou à vérifier les informations.

Les demandes insistent souvent sur les exigences légales de confidentialité afin de dissuader les employés de consulter des collègues susceptibles de poser des questions.

Vol de données BEC

Toutes les attaques BEC ne visent pas l'argent. Certaines ciblent des données sensibles : formulaires W-2 contenant les numéros de sécurité sociale et les informations salariales des employés, propriété intellectuelle, bases de données clients ou documents confidentiels relatifs à la stratégie de l'entreprise.

Le vol de données et l'escroquerie aux faux ordres de virement (BEC) précèdent souvent la fraude financière. Lorsque des pirates informatiques dérobent des informations sur les employés, comme les données de paie ou les coordonnées bancaires, ils peuvent ensuite les utiliser pour détourner les salaires ou les avantages sociaux. Parallèlement, les documents internes, les listes de contacts et les habitudes de communication leur fournissent les informations nécessaires pour concevoir des courriels d'usurpation d'identité plus convaincants lors de futures attaques.

Signes avant-coureurs d'une attaque BEC

Les messages BEC sont conçus pour paraître légitimes, mais certains schémas spécifiques révèlent leur véritable nature lors d'un examen attentif.

Signes avant-coureurs d'une attaque BEC

Incohérences entre l'expéditeur et le domaine :

  • Le nom affiché ne correspond pas à l'adresse e-mail réelle lorsque vous survolez la page ou cliquez pour vérifier.
  • Le domaine utilise des variantes subtiles : company-inc.com, cornpany.com, company.co au lieu de company.com
  • Les fournisseurs de messagerie gratuits (Gmail, Yahoo) sont utilisés pour des communications prétendument de haut niveau.
  • L'adresse de réponse diffère de l'adresse d'envoi, redirigeant les réponses vers des comptes contrôlés par l'attaquant.

Anomalies de langage et de ton :

  • Style d'écriture, vocabulaire ou niveau de formalité non conformes à la manière dont l'expéditeur supposé communique habituellement.
  • Salutations génériques (« Bonjour », « Salut l'équipe ») de la part des cadres qui utilisent généralement votre nom
  • Formulation un peu maladroite qui ne correspond pas aux schémas des locuteurs natifs
  • Références à des relations ou à des projets qui semblent légèrement décalés ou qui sont décrits de manière générique

Demandes financières inhabituelles :

  • Demandes de virement de fonds vers de nouveaux comptes non vérifiés
  • Instructions de paiement au fournisseur avec coordonnées bancaires modifiées
  • Demandes d'achat de cartes-cadeaux et de partage de codes (un signe d'alerte quasi universel de fraude au président)
  • Il y a urgence à traiter les transactions qui suivent normalement des processus d'approbation établis.

Pression liée à l'urgence et au secret :

  • « À faire aujourd’hui », « avant la fermeture des bureaux », ou toute autre pression temporelle artificielle
  • Demandes de dérogation aux procédures d'approbation normales
  • Consignes pour que la demande reste confidentielle jusqu'à la fin de la transaction.
  • Malaise ou découragement lorsque vous suggérez une vérification par les voies habituelles.

Contexte de requête inhabituel :

  • Demandes financières émanant de dirigeants qui n'initient généralement pas les paiements directement.
  • Demandes de changement de fournisseur sans préavis ni contexte
  • Communications de votre avocat concernant des sujets dont vous n'aviez pas connaissance auparavant
  • Requêtes reçues alors que l'expéditeur présumé est connu pour être en voyage ou indisponible

Maintenir des listes de contacts propres et vérifiées et utiliser des outils fiables outils de vérification des e-mails aide les organisations à identifier les messages provenant d'adresses ne correspondant pas aux enregistrements de contacts établis, ce qui constitue un signal précoce d'une potentielle activité de fraude au président.

Comment prévenir la compromission de votre messagerie professionnelle

Une prévention efficace des fraudes aux faux ordres de virement (BEC) nécessite des contrôles à plusieurs niveaux touchant les systèmes techniques, le comportement des employés, les processus financiers et la politique organisationnelle.

Comment prévenir la compromission de votre messagerie professionnelle

Contrôles techniques

Aucune solution technique ne peut à elle seule stopper les attaques BEC ; les organisations doivent donc combiner authentification, surveillance et contrôles d’accès pour réduire les risques.

protocoles d'authentification du courrier électronique

Configuration correcte des enregistrements SPF, DKIM et DMARC L'application d'une politique de contrôle DMARC réduit considérablement l'usurpation de domaine directe, empêchant les attaquants d'envoyer des messages non authentifiés semblant provenir de votre domaine. L'option DMARC p=reject garantit que les messages non authentifiés prétendant provenir de votre domaine n'atteignent pas leurs destinataires, protégeant ainsi vos employés contre l'usurpation d'identité et vos clients contre les attaques visant à usurper l'identité de votre organisation.

Plateformes de sécurité de messagerie avancées

Les outils de sécurité de messagerie basés sur l'IA analysent les habitudes de communication et détectent les activités inhabituelles. Par exemple, ils peuvent signaler les courriels dont le ton ou le style diffère sensiblement du style habituel de l'expéditeur, ou les tentatives de connexion provenant de lieux ou d'adresses IP inconnus. Ces systèmes, qui analysent le comportement plutôt que de se contenter de rechercher des liens ou des pièces jointes malveillants connus, peuvent déceler les tentatives d'escroquerie au président sophistiquées que les filtres traditionnels basés sur les signatures ne parviennent souvent pas à repérer.

Authentification multifacteur (MFA)

L'authentification multifacteurs (AMF) sur tous les comptes de messagerie contribue à prévenir la prise de contrôle de compte, l'une des formes les plus convaincantes d'escroquerie au président. Lorsqu'un pirate accède à la boîte de réception d'un employé, ses messages paraissent parfaitement légitimes car ils proviennent d'une adresse authentique et de confiance. L'AMF ajoute une seconde étape de vérification : même si un pirate vole un mot de passe par hameçonnage, il ne peut pas se connecter et utiliser le compte pour envoyer des messages frauduleux.

Surveillance de domaine

Enregistrez des variantes courantes de votre nom de domaine, telles que de légères fautes d'orthographe ou des variations avec tirets, afin d'empêcher les attaquants de les utiliser. Surveillez également l'activité d'enregistrement de nouveaux domaines ressemblant fortement à votre marque. La détection précoce de ces domaines peut indiquer une tentative d'escroquerie au président et vous donner le temps d'enquêter ou de prendre des mesures préventives avant l'envoi de courriels frauduleux.

Entrainement d'employé

Des formations régulières, basées sur des scénarios et axées sur la fraude au président, permettent aux employés de reconnaître les signaux d'alerte subtils que les outils de sécurité automatisés peuvent ignorer. Les employés doivent s'entraîner à identifier :

  • Usurpation d'identité par rapport aux adresses d'envoi réelles
  • tactiques de pression fondées sur l'urgence et le secret
  • Modèles inhabituels de demandes financières
  • Comment vérifier les requêtes via des canaux secondaires

Les exercices de simulation BEC, où le service informatique envoie de faux messages BEC contrôlés pour tester les réactions des employés, identifier les lacunes en matière de formation et développer des compétences pratiques de reconnaissance plus efficacement que la seule formation en salle de classe.

Contrôles financiers

Des mécanismes de protection financière garantissent que même si un courriel trompeur parvient à un employé, il ne peut pas déclencher immédiatement des actions de paiement irréversibles.

Double autorisation pour les virements bancaires

Exiger deux approbations indépendantes pour les virements bancaires dépassant les seuils définis. Les attaques de type « fraude au président » (BEC) exploitent souvent les situations où une seule personne est habilitée à débloquer des fonds, ce qui en fait une cible privilégiée pour les escrocs. L’exigence d’une double autorisation garantit que, même si un employé est induit en erreur, une seconde vérification constitue une protection essentielle avant que les fonds ne quittent l’organisation.

Vérification hors bande

Mettez en place une politique exigeant une vérification téléphonique, à l'aide de numéros connus et préétablis, pour toute instruction de paiement concernant de nouveaux comptes, des modifications de coordonnées bancaires ou des montants inhabituels. Les employés ne doivent jamais se fier aux informations de contact fournies dans l'e-mail lui-même pour confirmer ces demandes. Un simple appel de vérification via un canal fiable permet de bloquer de nombreuses tentatives d'escroquerie financière avant que les fonds ne soient transférés.

procédures de demande de modification de paiement

Mettez en place une procédure structurée pour les demandes de modification des coordonnées bancaires des fournisseurs, comprenant plusieurs étapes de vérification avant toute approbation. Cette procédure doit inclure un rappel direct aux interlocuteurs désignés chez le fournisseur et des délais d'attente avant traitement. Des processus de modification standardisés réduisent l'efficacité des attaques.

L'application de la politique

Des politiques claires et écrites encadrant l'autorisation financière, les demandes de modification de paiement et les demandes inhabituelles de partage de données offrent aux employés un cadre pour gérer les situations suspectes sans avoir l'impression de remettre en question une autorité légitime. Les politiques stipulant explicitement « nous ne demanderons jamais de virement bancaire urgent par simple courriel » réduisent la pression exploitée par les attaques BEC (Business Email Compromise).

Listes de courriels de nettoyage assure régulièrement une détection efficace des BEC, car les valeurs élevées rebondir Les taux d'abus et la mauvaise réputation de l'expéditeur peuvent affaiblir le filtrage de sécurité qui permet de détecter les messages suspects.

Conclusion

La compromission de messagerie professionnelle réussit car elle exploite la confiance organisationnelle plutôt que des vulnérabilités techniques. Les attaquants investissent dans la recherche, élaborent des usurpations d'identité convaincantes et ciblent les personnes et les processus spécifiques qui gèrent les transactions financières et les données sensibles, sans avoir besoin d'une seule ligne de code malveillant.

La prévention exige d'associer cette sophistication à des défenses à plusieurs niveaux : des protocoles d'authentification qui empêchent l'usurpation de domaine, l'authentification multifacteur qui bloque la prise de contrôle des comptes, une formation des employés qui développe des compétences spécifiques en matière de reconnaissance des fraudes aux faux ordres de virement (BEC), et des contrôles financiers qui exigent une vérification hors bande avant de traiter les demandes inhabituelles.

Maintenir une infrastructure de messagerie propre fait partie de votre stratégie de défense contre les fraudes aux faux ordres de virement (BEC). DéBounce Pour vérifier vos listes de contacts et réduire le nombre de courriels rejetés, qui nuisent à la réputation de l'expéditeur, il est essentiel de s'assurer de l'exactitude de vos données et de configurer correctement vos contrôles d'authentification. Il devient ainsi plus facile de détecter les messages provenant de sources autres que vos fournisseurs et partenaires habituels, ce qui complique la réussite des tentatives d'escroquerie au président (BEC).

Questions fréquemment posées

Réponses aux questions fréquentes sur ce sujet.
01

Une compromission de messagerie professionnelle est-elle possible sans logiciel malveillant ?

Oui, la majorité des attaques BEC n'impliquent aucun logiciel malveillant. Elles reposent entièrement sur l'ingénierie sociale, l'usurpation d'identité et la recherche d'informations pour inciter les employés à commettre des actes frauduleux, ce qui explique pourquoi les outils antivirus et de détection de logiciels malveillants traditionnels ne permettent pas de prévenir efficacement les attaques BEC.

02

Les courriels cryptés peuvent-ils encore être utilisés dans les escroqueries BEC ?

Oui. Le chiffrement protège le contenu des messages contre l'interception, mais ne vérifie pas l'identité de l'expéditeur ; un message BEC envoyé depuis un compte usurpé ou compromis peut être chiffré et rester frauduleux, c'est pourquoi l'authentification de l'expéditeur (DMARC, SPF, DKIM) et les procédures de vérification sont importantes au même titre que le chiffrement.

Vous pourriez aussi aimer

Trouvez rapidement les réponses à vos questions concernant nos tarifs et nos forfaits.

Test A/B 101 : retour aux sources

Le test A/B est une méthodologie fondamentale dans la plupart des stratégies marketing. Et pour cause : il permet aux spécialistes du marketing de prendre des décisions éclairées…

   
Théa Liarokapi