Qu'est-ce que la compromission du courrier électronique professionnel (BEC) ?

Piratage des adresses électroniques professionnelles

La compromission du courrier électronique professionnel (business email compromise - BEC) est une variante de l'hameçonnage qui consiste à voler les données de connexion d'un compte de courrier électronique professionnel. Dans le passé, la messagerie professionnelle était généralement hébergée sur le site de l'organisation concernée. Aujourd'hui, de plus en plus de services en ligne tels qu'Office 365 ou G-suite sont utilisés.

En fait, le BEC ne se produit qu'entre les entreprises et les organisations. Cette forme d'hameçonnage n'existe pas entre les entreprises et les consommateurs. La raison en est que les cybercriminels consacrent beaucoup de temps et d'efforts à cette forme d'hameçonnage. Pour une facture de quelques centaines d'euros entre entreprises et consommateurs, le jeu n'en vaut pas la chandelle. C'est également la raison pour laquelle la compromission des courriels professionnels implique souvent des sommes d'argent importantes.

Après les ransomwares, la compromission des courriers électroniques professionnels est considérée comme la plus grande menace financière en matière de cybersécurité. Chaque année, le FBI publie un rapport sur les dommages économiques totaux causés par diverses attaques. Selon les statistiques du FBI, les pertes dues à la fraude BEC entre 2016 et 2021 s'élèvent à plus de 43 milliards de dollars.

Comment fonctionne la compromission des courriels professionnels ?

Dès qu'un hameçonneur accède à votre boîte de réception après que vos informations d'identification ont été hameçonnées, vos courriels sont lus. En lisant les conversations qui s'y déroulent, il est possible de savoir quand une facture doit être envoyée à un client, par exemple. Le hameçonneur envoie alors une fausse facture ou une vraie facture dont il a modifié le numéro de compte depuis votre boîte de réception jusqu'à votre client.

Le client paie la facture qu'il a reçue de vous. Mais l'argent n'est pas transféré à votre organisation, mais au numéro de compte des criminels. Ce qui est délicat ici, c'est que le client a réellement reçu un e-mail de votre part et qu'il a payé la facture qu'il a reçue, mais que vous ne voyez pas l'argent apparaître sur votre compte.

Il peut arriver que votre client remette en question la facture, par exemple parce que l'argent doit soudainement être transféré sur un autre numéro de compte. Le client vous envoie un courriel pour vous demander comment cela est possible, mais le hameçonneur intercepte le courriel. L'escroc donne une réponse crédible à l'e-mail et le client paie quand même la facture. Souvent, ce qui s'est passé à la BEC n'est révélé qu'après coup. Au moment où vous contactez votre client pour lui demander quand il va payer sa facture. Il vous répondra alors, bien sûr, qu'elle a déjà été payée.

Il arrive que des cybercriminels s'emparent de plus d'un million d'euros en compromettant des courriels professionnels. Cela se produit également aux Pays-Bas. Parce que les courriels semblent si crédibles, les gens tombent dans le panneau.

Qui est la victime en cas de compromission du courrier électronique d'entreprise ?

La question de savoir qui est la victime est délicate dans une situation de BEC. L'entreprise qui a transféré de l'argent aux criminels est une victime, car elle ne reverra pas son argent. Mais l'entreprise qui a été piratée par le hameçonneur et qui n'a pas reçu l'argent de la facture réelle est également une victime. En effet, le client n'ira pas payer à nouveau votre facture, car à ses yeux, c'est déjà fait.

Souvent, des poursuites pénales sont engagées contre les criminels. Mais il existe aussi un problème civil entre le client et le fournisseur : ils se déclarent mutuellement en défaut de paiement. Le fournisseur n'a pas reçu son argent et le client, à ses yeux, a payé mais n'a pas reçu le produit/service. Le BEC est difficile à prouver, surtout si vous n'avez pas une bonne connaissance de fond du fonctionnement de ce scénario d'attaque. Le client et le fournisseur se rejettent mutuellement la faute, alors qu'il s'agit en fait d'un pirate informatique qui se trouve quelque part dans une boîte de réception.

On pourrait donc dire que la compromission du courrier électronique professionnel est une forme d'hameçonnage qui a des conséquences très importantes. Le BEC se produit presque tous les jours. C'est juste qu'elle ne fait pas souvent la une des journaux parce que les deux parties n'ont pas intérêt à ce qu'elle soit rendue publique. Le fait que vous n'en entendiez pas parler n'enlève rien au fait qu'il s'agit d'un problème extrêmement important.

En cas de doute, appelez toujours

Le BEC est un scénario d'attaque relativement nouveau. Les deux parties ont l'obligation de vérifier si la facture est correcte. Si vous recevez une facture sur laquelle vous avez des doutes, que vous envoyez un courrier pour demander si elle est correcte et que votre interlocuteur vous répond que tout va bien, vous pouvez considérer que vous avez respecté l'obligation de moyens.

Si vous recevez une facture dont vous doutez de l'exactitude, appelez votre interlocuteur pour la vérifier. Appelez alors votre personne de contact pour la vérifier et n'envoyez pas d'e-mail. De cette manière, le fraudeur ne pourra pas s'interposer entre vous.