« La fraude au président » : la cybercriminalité en plein essor

On parle de plus en plus de cyberattaque ou de cybercriminalité. Celle-ci prend plusieurs formes, que ce soit les virus, les vols d’identité, les informations bancaires à réinitialiser, les faux fournisseurs, les faux techniciens informatiques, les fraudes et les détournements de fonds, pour ne nommer que ceux-là.

Parmi les différentes arnaques à sévir dernièrement, notons en particulier celle qu’on nomme la « fraude au président » ou l’ « escroquerie au faux ordre de virement international ».

Bien que les scénarios mis de l’avant soient variés et sophistiqués, certains éléments clés tels le prétexte d’une situation exceptionnelle, l’urgence de la transaction et son caractère hautement confidentiel, la nécessité d’un virement immédiat, la confiance qu’un supérieur hiérarchique place envers l’employé à qui il donne un « ordre » d’agir, sont tous à la base de cette subtile escroquerie.

À titre d’exemple, un employé clé du département des finances reçoit un courriel du président de la compagnie, qu’il sait être présentement en voyage d’affaires. Ce dernier l’informe avoir besoin que des sommes substantielles soient transférées sans délai dans un compte à l’étranger, afin de lui permettre de finaliser une transaction exceptionnelle et hautement confidentielle. Le président s’adresse à cet employé, car il a confiance en lui et sait qu’il peut compter sur sa grande discrétion dans le cadre de cette transaction stratégique pour la compagnie. Le courriel du soi-disant président fournit alors les détails du virement qui doit être complété sans délai et le nom d’un soi-disant avocat qui va le contacter pour lui communiquer les autres détails. Quelques minutes plus tard, l’employé reçoit effectivement l’appel de quelqu’un se prétendant avocat, qui lui communique les derniers détails et qui exerce la pression psychologique additionnelle requise pour manipuler et convaincre l’employé de procéder de la manière indiquée par son patron. Ces stratagèmes surviennent souvent le vendredi afin de permettre aux escrocs de bénéficier du week-end avant que quelqu’un en autorité ne questionne la transaction.

Il n’aura pris ici que quelques courriels et appels téléphoniques et parfois seulement quelques minutes pour mettre en branle une transaction extrêmement dommageable dont les conséquences peuvent s’avérer dramatiques pour la compagnie visée. Dans certains cas, le montant du transfert sera tel qu’il mettra en péril la viabilité même de l’entreprise, forçant celle-ci à la faillite et de façon corollaire, obligeant la mise à pied de tous les employés.

Selon diverses études et rapports médiatiques, ce fléau a déjà atteint plus de  700 entreprises françaises et plusieurs milliers d’entreprises américaines. Au Québec, un article publié en décembre 2014 dans le cahier affaires de lapresse.ca faisait état que la Sûreté du Québec avait alors recensé 19 cas de fraudes similaires. Dans trois de ceux-ci, les entreprises visées auraient été escroquées pour une somme de l’ordre de 7,5 millions de dollars. De plus, cet article indiquait qu’à ce moment (novembre – décembre 2014), la police de la ville de Québec enquêtait sur six autres cas. D’ailleurs, le SPVM, sur son site Internet, sous la rubrique « Fraude visant des entreprises », met en garde les entreprises contre ce genre de situation.

D’aucun pourrait penser qu’une telle arnaque n’arrive qu’aux autres, mais ces fraudeurs internationaux sont d’une habileté redoutable. L’entreprise n’a pas été choisie au hasard et l’employé visé a été minutieusement sélectionné. Il est question ici d’« ingénierie sociale » (social engineering). Les fraudeurs rassemblent, par le biais de l’Internet, des réseaux sociaux et autres registres d’entreprises, une foule d’informations sur l’entreprise, ses joueurs clés, le style d’écriture et les habitudes du président (incluant la connaissance de ses déplacements et voyages d’affaires), le lien hiérarchique avec l’employé visé, etc. Toute cette information permet de rendre le scénario le plus convainquant possible.

Certains fraudeurs utilisent également des systèmes informatiques et des téléphones jetables non repérables, de sorte qu’une fois le transfert des sommes complété, il devient très difficile de retrouver les coupables et les sommes ainsi détournées. De plus, l’adresse courriel utilisée est généralement pratiquement identique à la véritable adresse du président et seul un ou deux détails la différentient de la véritable adresse courriel du président (une virgule ou un point peut faire toute une différence). Ce faisant, l’employé ne suspecte rien.

Comme le veut le vieil adage, « il vaut mieux prévenir que guérir ». Parmi les éléments de prévention à considérer, notons d’abord et avant tout la sensibilisation du personnel de l’entreprise sur l’existence de ce type de fraude, en leur rappelant d’être continuellement vigilant et de faire montre d’un esprit critique devant toute demande inhabituelle. La mise en place de processus de contrôles internes visant à empêcher les fraudes en prévoyant entre autres la vérification de la légitimité de la demande, un accès limité aux données sensibles, l’encadrement de la délégation de pouvoirs dans les cas de virements de fonds et la nécessité de deux signatures pour l’approbation d’un virement d’un certain montant. La consultation auprès d’un contrôleur interne ou d’une personne clé, tel le conseiller juridique interne, peut s’avérer essentielle en cas de questions sur la légitimité d’une demande. Ce dernier étant déjà de par ses fonctions un protecteur de la confidentialité, il est idéalement placé. La révision des processus internes, et ce tant au niveau de la gouvernance financière que des systèmes technologiques, est fondamentale. En effet, l’entreprise doit tenter de limiter la diffusion publique d’informations sensibles, tel que sur l’Internet et les réseaux sociaux, dont la portée est internationale. La consultation auprès des services juridiques est par ailleurs primordiale pour bien structurer les mécanismes à mettre en place pour limiter les risques.

Si malgré tout vous croyez être victime d’une telle supercherie, prévenez immédiatement votre banquier et votre avocat. Une plainte à la police sera également de mise. Plus vous serez rapide à réagir, plus vous aurez de chance d’arrêter le virement frauduleux et de récupérer les sommes ainsi détournées. À défaut, l’enquête de ces situations pourrait s’avérer longue et coûteuse et vos chances de succès, assez limitées. Cela dit, certaines arrestations, entre autres en Israël, ont eu lieu en 2015 et les enquêtes se poursuivent de façon internationale pour tenter d’enrayer, ou à tout le moins, de réduire ce fléau.