Fraude au président (BEC)
Fraude ciblée par usurpation de dirigeant, fournisseur ou avocat pour détourner un paiement légitime — historiquement la catégorie de cybercrime la plus coûteuse en valeur.
La fraude au président — connue à l’international sous le nom de Business Email Compromise (BEC) — est une fraude ciblée dans laquelle l’attaquant usurpe l’identité d’un tiers de confiance (PDG, avocat externe, fournisseur connu) pour détourner un paiement que la victime s’apprête déjà à effectuer. Pas de malware, souvent pas de lien, et fréquemment pas de contournement MFA : l’attaque réussit en exploitant l’autorité, l’urgence et les failles de la chaîne d’approbation. L’Internet Crime Complaint Center (IC3) du FBI place régulièrement le BEC parmi les catégories de cybercrime aux pertes les plus élevées, avec un cumul déclaré supérieur à 50 milliards USD depuis 2013.
Trois schémas dominent :
- Usurpation du dirigeant. Un faux message du PDG au contrôleur de gestion, un vendredi soir : « virer 480 000 € au cabinet qui gère l’acquisition, restez confidentiel ». Souvent doublé d’un appel vishing ou deepfake vocal pour confirmation.
- Changement d’IBAN fournisseur. L’e-mail d’un fournisseur historique est compromis (ou spoofé) ; une note « nouvelles coordonnées bancaires » arrive juste avant la prochaine facture ; les paiements suivants partent chez l’attaquant pendant des semaines avant détection.
- Détournement de paie. Un message « j’ai changé de banque, merci de mettre à jour mon virement » depuis un compte salarié usurpé, souvent pendant la fenêtre de paie.
Propriétés caractéristiques :
- Pas de charge malveillante. Les passerelles de sécurité e-mail calibrées sur liens et pièces jointes laissent souvent passer le BEC.
- Autorité et urgence. Le leurre joue sur la hiérarchie et l’échéance — précisément les deux pressions qui inhibent le réflexe de vérification.
- Connaissance du processus. L’attaquant fait sa reconnaissance sur les cycles de paiement, les seuils d’approbation et les absences déclarées avant d’agir.
- Récupération rare. Les fonds sont éclatés sur des comptes mules en quelques heures ; seul le Financial Fraud Kill Chain du FBI récupère une fraction des virements BEC transfrontaliers.
Le levier défensif est procédural et comportemental, pas technique : un rappel hors canal obligatoire sur tout changement de coordonnées bancaires ou tout virement hors-pattern, répété suffisamment — via des simulations spear-phishing et des nudges ciblés finance — pour que « vérifier sur le numéro connu » soit le mouvement automatique, pas l’exception arrachée à une politique gênante.
Termes liés
- Hameçonnage (phishing)Attaque d'ingénierie sociale qui usurpe l'identité d'un tiers de confiance pour obtenir des identifiants, de l'argent ou un accès — par e-mail, SMS, voix, QR code ou consentement OAuth.
- Spear-phishingAttaque de phishing ciblée sur une personne ou un petit groupe, exploitant l'OSINT public pour atteindre une crédibilité que le phishing de masse n'a pas.
- Ingénierie socialeManipuler une personne — plutôt qu'exploiter une faille logicielle — pour obtenir identifiants, argent ou accès ; la catégorie chapeau dont relèvent phishing, vishing et fraude au président.
- Clonage de voix par deepfakeUtilisation d'une voix — voire d'une vidéo — synthétique générée par IA pour usurper un dirigeant ou collègue lors d'une tentative de fraude.
- Vishing (phishing vocal)Phishing acheminé par appel vocal — de plus en plus combiné à un prétexte e-mail et, depuis 2023, à des voix de dirigeants ou collègues clonées par IA.