Le Business Email Compromise (BEC) — dont la “fraude au président” est la variante la plus connue — est l’une des attaques les plus rentables financièrement pour les cybercriminels. Selon le FBI, les pertes liées au BEC dépassent chaque année les 2,9 milliards de dollars aux États-Unis seuls. En France, des PME, des collectivités et des associations en font régulièrement les frais.

Ce qui rend le BEC particulièrement dangereux : il n’y a souvent pas de malware, pas de lien malveillant, pas de pièce jointe piégée. Juste des emails qui semblent provenir de personnes de confiance, avec des demandes qui semblent légitimes.

Les différentes formes de BEC

La fraude au président (CEO fraud)

Un email semble venir du PDG, du DG ou d’un élu. Il demande un virement urgent et confidentiel — souvent justifié par une acquisition en cours, une procédure judiciaire, un paiement fournisseur bloqué. La demande insiste sur l’urgence et la confidentialité. Elle arrive souvent en fin de journée ou avant un long week-end.

La victime désignée est généralement le DAF, le comptable, ou tout agent habilité à émettre des virements.

La fraude au fournisseur (Vendor Email Compromise)

L’attaquant se fait passer pour un fournisseur existant et demande de mettre à jour les coordonnées bancaires avant le prochain règlement. La demande semble légitime — elle fait référence à une vraie relation commerciale, parfois à de vraies factures.

La fraude peut passer inaperçue pendant plusieurs semaines si le fournisseur légitime ne relance pas rapidement pour non-paiement.

Le conversation hijacking

Variante plus sophistiquée : l’attaquant a préalablement compromis le compte email d’un des participants à une conversation réelle. Il s’insère dans le fil existant, avec l’historique complet visible, et détourne la transaction à son profit — changement de RIB, redirection de livraison, modification de contrat.

La victime ne reçoit pas un email “froid” d’un inconnu, mais une réponse dans une conversation qu’elle connaît. Le niveau de confiance est maximal.

Les vecteurs techniques

Compromission de compte (Account Takeover)

L’attaque la plus efficace : l’attaquant prend le contrôle d’une vraie boîte mail. Les emails ne proviennent pas d’un domaine lookalike — ils proviennent du vrai compte. Aucun filtre anti-spam ne les bloque.

La compromission peut survenir par :

Credential stuffing : utilisation d’un couple email/mot de passe issu d’une fuite de données antérieure
Phishing : vol des credentials via une fausse page de connexion
Password spraying : tentative d’un mot de passe commun sur un grand nombre de comptes

Une fois dans la boîte, l’attaquant peut rester silencieux des semaines. Il lit les emails, identifie les interlocuteurs clés, les transactions en cours, les procédures internes. Puis il agit au moment le plus opportun.

Certains attaquants configurent des règles de transfert automatique — tous les emails entrants sont copiés vers une adresse externe, en silence. Parfois aussi des règles pour effacer automatiquement certaines alertes ou notifications.

Usurpation de domaine (Domain Spoofing)

Sans compromettre de compte, l’attaquant peut tenter d’usurper le domaine d’expéditeur directement. Si le domaine de la victime ou de son fournisseur n’a pas de politique DMARC configurée en mode reject, des emails avec un From: falsifié peuvent arriver dans les boîtes de destination.

Domaine lookalike

L’attaquant enregistre un domaine très proche de celui de l’organisation ciblée et envoie les emails depuis ce domaine. La différence est souvent imperceptible dans une lecture rapide :

digitalspoon.fr → digitaIspoon.fr (L majuscule à la place du i)
mairie-poissy.fr → mairie-poisy.fr
comptabilite@client.fr → comptabilite@client-factures.fr

Comment les attaquants restent indétectés

Ils respectent les horaires. Les emails sont envoyés aux heures ouvrées, depuis des fuseaux horaires cohérents.

Ils imitent le style. Après avoir lu des dizaines d’emails de la vraie personne, l’attaquant reproduit son ton, ses formules habituelles, ses abréviations.

Ils créent une pression temporelle. L’urgence paralyse le réflexe de vérification. “Il faut que ce virement parte aujourd’hui avant 16h, je suis en déplacement et injoignable.”

Ils isolent la cible. “Ce dossier est confidentiel, n’en parlez à personne pour l’instant.”

Les contremesures organisationnelles

Le double contrôle des virements

Toute demande de virement dépassant un seuil défini (à adapter selon la taille de l’organisation) doit être validée par deux personnes distinctes, via deux canaux distincts. Un email seul ne suffit jamais à autoriser un virement.

La vérification hors-bande (out-of-band verification)

Pour tout changement de coordonnées bancaires ou toute demande de virement urgente, une vérification téléphonique est obligatoire — sur le numéro habituel du contact, pas sur un numéro fourni dans l’email. Ce protocole simple est la protection la plus efficace contre le BEC.

La politique de changement de RIB

Mettre en place une procédure formelle pour toute modification de coordonnées bancaires fournisseur : formulaire signé, validation par un responsable, délai de traitement d’au moins 48h, confirmation par courrier postal si possible.

Les contremesures techniques

DMARC en mode reject sur son propre domaine

Configurer DMARC avec une politique p=reject sur son domaine empêche les attaquants de l’usurper pour contacter d’autres organisations. C’est une mesure qui protège vos interlocuteurs, pas seulement vous.

Surveillance des règles de transfert email

Un compte compromis configure souvent des règles de transfert automatique. Les administrateurs Microsoft 365 ou Google Workspace peuvent activer des alertes sur la création de ces règles, ou les bloquer par défaut.

MFA résistant au phishing

L’authentification multi-facteurs empêche la compromission de compte par credential stuffing ou phishing classique. Préférez les clés de sécurité physiques (FIDO2) ou les notifications push avec validation contextuelle aux codes TOTP, plus vulnérables aux attaques de phishing en temps réel.

Alertes sur les connexions inhabituelles

Microsoft 365 et Google Workspace permettent de configurer des alertes sur les connexions depuis des pays inhabituels, des adresses IP anonymisées (VPN, Tor), ou à des heures atypiques. Ces signaux précèdent souvent une tentative de BEC.

Le BEC se situe à l’intersection de la technique et du social engineering. Les contremesures purement techniques ne suffisent pas — les procédures organisationnelles sont au moins aussi importantes. C’est un risque qui appelle un travail conjoint entre les équipes IT, financières et la direction.

Sources : FBI Internet Crime Complaint Center (IC3), rapport BEC 2023 ; ANSSI, panorama de la cybermenace ; Agence nationale de sécurité des systèmes d’information, guide fraude au président.