Ingénierie sociale

Le fléau de la fraude au président

La criminalité en col blanc n’en finit pas de gangrener l’économie, en Suisse et dans le monde. Le cas de fraude le plus répandu demeure le détournement d’actifs, qui représente près de 70% des fraudes reportées à l’échelle mondiale. C’est le constat dressé par le cabinet d’audit PwC dans son enquête «Global and Swiss Economic Crime Survey 2014».

Dans le cadre des détournements d’actifs, on trouve également une spécificité présentée comme française : la «fraude au président», aussi appelée «arnaque au président» ou
«escroquerie au président». Ce type d’escroquerie affecte 10% des entreprises françaises interrogées par PwC. Il aurait causé un préjudice de plus de 350 millions d’euros, selon l’Office central français pour la répression de la grande délinquance, qui a recensé environ 700 faits ou tentatives entre 2010 et 2014. D’autres pays sont également touchés par ce fléau — European Fraud Institute a d’ailleurs émis une alerte à ce sujet.
 
Le mécanisme de cette escroquerie est   rodé. Un individu se fait passer pour un haut dirigeant et demande à un employé de son service comptable ou financier d’effectuer en urgence un virement bancaire international  en vue d’une transaction hautement confidentielle. Cette criminalité se fonde sur une phase préalable d’ingénierie sociale («social engineering» en anglais), au cours de laquelle les escrocs en col blanc développent une connaissance approfondie de l’environnement de l’entreprise ciblée et une série de techniques qui leur permettent de manipuler leurs victimes. L’objectif est d’extorquer de l’argent ou des informations aux utilisateurs par téléphone, courrier (électronique ou traditionnel), messagerie instantanée ou contact direct. L’ingénierie sociale est basée sur l’utilisation de la force de persuasion et l’exploitation de la naïveté des utilisateurs en se faisant passer pour une personne de la maison, un technicien ou encore un administrateur.

Une longue préparation à l'escroquerie

Des organisations criminelles se cachent sou-vent derrière ces arnaques qui requièrent une longue préparation pour que le salarié obéisse. Les malfaiteurs procèdent à une analyse minutieuse de l’entreprise visée, son organigramme, ses stratégies et ses outils de communication en prenant des renseignements sur ses dirigeants, ses conseillers, ses avocats… Ils s’imprègnent de sa culture d’entreprise en étudiant les messages de ses dirigeants aux salariés ou les newsletters internes. Ils interceptent les coordonnées des dirigeants et leur signature figurant sur les documents officiels trouvés sur internet. Ils enquêtent sur la vie privée des employés, notamment des cadres, grâce aux réseaux  sociaux  qui  leur  permettent  d’obtenir des détails personnels (date de naissance, situation familiale, prénoms des enfants, etc.).
 
Les criminels utilisent leur pouvoir de persuasion, voire la pression psychologique, en invoquant la confidentialité de l’opération et l’urgence de la situation, quitte à menacer la personne de licenciement si elle ne s’exécute pas. Certains fraudeurs disposent d’un don pour imiter la voix de la personne pour laquelle ils se font passer, connaissant ses mots ou expressions préférées. Ils recourent aussi à  des techniques pour empêcher la police de les retrouver. La phase d’ingénierie sociale peut être plus poussée, avec des fraudeurs qui vont jusqu’à introduire un complice au sein même de l’entreprise cible pour mieux connaître son fonctionnement.
 
Il existe plusieurs variantes d’escroquerie   au faux virement, par exemple, les individus qui se font passer pour des fournisseurs et communiquent un changement de domiciliation bancaire à laquelle l’entreprise effectuera désormais ses paiements, le dirigeant qui mène une acquisition strictement confidentielle ou encore les techniciens qui viennent de mettre  à jour le logiciel de la banque et demandent  un virement d’essai pour effectuer un test.

Aperçu

37%

Plus d’une organisation suisse sur trois sondée par le cabinet d’audit PwC en 2014 a été victime d’une fraude au cours des 24 mois précédents. En 2013, ce chiffre s’élevait à 18%.

52%

C’est la proportion des fraudes répertoriées en Suisse qui consistent en un vol pour un montant inférieur   à   100’000 francs. Dans 40% des cas, les montants sont compris   entre   100’000 et 5 millions de francs. Ils dépassent 5 millions dans 4% des cas.

32,7%

C’est l’augmentation du nombre de cas de criminalité économique recensés par KPMG en Suisse entre 2013 et 2014. Le cabinet d’audit a répertorié 77 cas cette année-là.

 

Fraude au président : mode d’emploi

L’escroc contacte par mail ou par téléphone un comptable de l’entre- prise visée, en se faisant passer pour le directeur ou un haut responsable. Prétextant une opération urgente et confidentielle (contrôle fiscal, acquisition à l’étranger), il exige alors que l’employé effectue un virement sur un compte situé à l’étranger dans les plus brefs délais.

 

 
 
fraude_au-présents
 
 

Le canton de Vaud en alerte

Ce phénomène prend une ampleur sans précédent et se sophistique de jour en jour. Les employés sont en première ligne, et l’impact peut être dramatique aussi bien pour le salarié que pour l’entreprise. Toutes les entreprises et tous les secteurs d’activité sont visés, qu’il s’agisse de PME ou de sociétés cotées, comme la presse française en a notamment fait l’écho (voir encadré). La presse romande et les entre- prises suisses sont beaucoup plus discrètes sur le sujet. Cela signifie-t-il que la Suisse est épargnée par ce type d’escroquerie ? Rien n’est moins sûr. Via la presse locale, on sait que 13 cas d’«escroquerie au président» ont été recensés au début de l’été 2014 dans le canton de Vaud, mais on ignore les montants en jeu.
 
Dans le sillage de la «fraude au président», l’arnaque «à l’annuaire» a également frappé en Suisse. Une soixantaine de sociétés alémaniques ont reçu des offres promotionnelles d’inscription à de pseudo-registres professionnels avec des formulaires dont la typographie ressemble à celle qu’utilise la Confédération, avec un engagement à payer un abonnement mensuel de 95 francs sur une durée minimale de 24 mois auprès d’une société située en général à l’étranger.
 
Dans le canton de Vaud, la Division prévention criminalité de la police cantonale a rédigé une note intitulée «L’ingénierie sociale, un risque pour les PME». Elle explique que des «entre- prises locales basées dans le canton de Vaud sont régulièrement la cible d’arnaques et de tentatives de tromperie»

Nos conseils pour vous protéger des attaques

Pour se protéger des techniques d’ingénierie sociale, les entreprises doivent sensibiliser leur personnel à cette forme de criminalité et mettre en place ou revoir les procédures de contrôle adéquates :

  • l’identité de l’interlocuteur doit être systématiquement contre-vérifiée ;
  • l’interlocuteur présumé doit être systématiquement recontacté suite à un appel ou à un courrier pour vérifier qu’il s’agit de la bonne personne ;
  • les renseignements fournis doivent être vérifiés ;
  • la personne approchée doit s’interroger sur la pertinence des informations demandées par son interlocuteur, et faire preuve de bon sens en n’hésitant pas à en parler à ses pairs et à vérifier auprès de la direction.

Durcissement des conditions d'assurance

La multiplication des cas d’arnaque au président affecte le marché de l’assurance fraude, qui se retrouve face à un risque de fréquence et d’intensité. Or l’esprit de ce type de protection est de couvrir des sinistres de pointe et non de fréquence. On assiste donc à un durcissement de la souscription et des conditions d’assurance.
 
Deux possibilités s’offrent aux assureurs :
 
  • Soit ce type de fraude continue en principe d’être couvert dans les conditions générales, mais le preneur d’assurance potentiel doit répondre à des questions spécifiques relatives à l’ingénierie sociale. L’assureur se réserve le droit d’exclure la garantie ou de la limiter par voie d’avenant s’il estime que les procédures et contrôles sont insuffisants.
  • Soit l’on exclut les pertes subies du fait d’une instruction de virement donnée par une personne qui s’est fait passer pour une autre, en l’absence de procédure d’authentification et de contre-vérification visant à protéger l’intégrité de la communication et à authentifier son émetteur.

 

 

2015 ou l’explosion en Suisse

Si la Suisse romande, et Genève en particulier, a été fortement touchée en 2015 avec une accélération des escroqueries durant le dernier trimestre, le fléau s’étend désormais à toute la Suisse.

Genève

Plus de 100 plaintes déposées auprès de la brigade financière en 2015.

30 cas de fraude au président pour un préjudice global de 6 millions de francs.
70 cas de fraude à la régie pour un montant total de 800’000 francs.
La fraude à la régie consiste à communiquer à un locataire un faux changement de régie et de son service comptable pour percevoir indûment le loyer.

Neuchâtel

Près de 15 tentatives en 2015 pour plusieurs centaines de milliers de francs.

Vaud

Une quinzaine de fraudes signalées entre octobre et décembre 2015, dont quatre ont réussi pour une escroquerie supérieure à 500’000   francs.

Valais

Près de 15 tentatives enregistrées en 2015 mais sans succès pour les malfrats.

Fribourg

Environ 15 tentatives de fraude enregistrées en 2015, cependant aucune n’a abouti.

Berne

Plus de dix escroqueries en 2015 pour un montant de 400’000 francs.

 

Des précédents d'attaques téléphoniques en France

En janvier 2012, l’éditeur Média-Participations subit au moins 30 attaques téléphoniques. Le président du groupe, Vincent Montagne, appelle la directrice financière de Dargaud Suisse, lui demandant de virer de toute urgence 987’000 euros sur un compte HSBC à Hong Kong pour financer une acquisition en Asie. Il lui interdit d’en parler au patron de la filiale suisse. La directrice financière appelle ses correspondants parisiens, le montant du virement dépassant le plafond autorisé. La révélation de l’usurpation de l’identité du patron stoppe le processus.  Le lendemain, Vincent Montagne reçoit un coup de fil de la part du commandant Girard : «Nous savons que vous avez été attaqués. Faites le virement, cela nous permettra de prendre les escrocs la main dans le sac.» Après vérification de Vincent Montagne auprès de ses contacts policiers, il s’avère que le commandant Girard n’existe pas. La Société Générale, banque de Média- Participations, reçoit alors un appel du faux Vincent Montagne affirmant les contacter depuis les locaux de la brigade financière et ordonnant d’effectuer le vire- ment afin de pincer les malfaiteurs. La supercherie est à nouveau débusquée.
 
En octobre 2013, Fendi, société affiliée au groupe de luxe LVMH, déclare un préjudice de près de 930’000 euros, après avoir été abusée via le virement du loyer de sa boutique de l’avenue Montaigne, à Paris, vers un compte en Slovaquie.
 
En juillet 2015, l’identité du PDG de la PME française BRM Mobilier, active dans le domaine de l’aménagement de bibliothèques et de médiathèques, est usurpée. Quelqu’un a réussi à convaincre une employée, après de multiples mails et appels téléphoniques, d’effectuer des versements en Asie en prétextant une opération financière importante et nécessaire à l’entreprise. Le PDG découvre début septembre que plus de 1,6 million d’euros se sont envolés. Conséquence directe : la société se retrouve au bord de la faillite.
 
Le 30 octobre 2014, la banque CIC est considérée comme responsable et condamnée par le Tribunal de commerce de Paris à rembourser le montant du faux virement de 100’000 euros qui avait été effectué dans l’affaire Etna Industries, PME de la région parisienne. La banque est épinglée pour son manquement à son obligation de vigilance et sa légèreté. Le CIC a fait appel de cette décision. Dans cette affaire, le responsable du service comptabilité d’Etna a reçu un e-mail semblant émaner de la responsable du groupe, lui demandant d’effectuer un virement de 500’000 euros en vue du rachat confidentiel d’une société chypriote et l’appelant toutes les trente minutes pour s’enquérir de l’évolution de l’opération. Le comptable demande à quatre banques d’effectuer ces virements. Trois des quatre banques refusent de transférer les fonds, le contre-appel des signataires autorisés ayant alerté la direction d’Etna. Mais trop tard : la banque CIC  a procédé au virement, sans vérification préalable.