Arnaque au changement de RIB : anatomie d'une fraude
Arnaque au faux RIB fournisseur : comment les escrocs détournent vos paiements, cas réels en France, et protocole de vérification pour PME.
Ce scénario, reconstitué à partir de cas réels, le 14 septembre 2023, la comptable d’une PME industrielle de l’Essonne ouvre un email de ce qu’elle croit être son fournisseur de matières premières. L’objet est banal : « Mise à jour de nos coordonnées bancaires ». Le message explique que le fournisseur a changé de banque et communique un nouveau RIB pour les prochains règlements. Le logo est correct. L’adresse email est presque identique à l’originale. La comptable met à jour la fiche fournisseur dans le logiciel de gestion et règle les trois factures en attente sur le nouveau compte. Total : 187 000 euros.
Trois semaines plus tard, le vrai fournisseur appelle pour réclamer le paiement de ses factures. L’argent est parti en Lituanie, puis à Chypre, puis plus rien.
Cette histoire n’a rien d’exceptionnel. L’arnaque au changement de RIB, aussi appelée fraude au faux RIB fournisseur, est devenue la variante la plus répandue de la fraude au virement en France. Plus discrète que la fraude au président, elle frappe plus souvent, touche davantage de PME, et son taux de détection avant paiement reste dramatiquement bas.
Ce que les chiffres disent
La fraude au changement de RIB représente désormais une part significative des Faux Ordres de Virement International (FOVI) signalés aux services de police judiciaire en France. La tendance est à la hausse continue depuis 2020.
La DGCCRF (Direction générale de la concurrence, de la consommation et de la répression des fraudes) constate que les signalements de fraudes au faux RIB fournisseur sont en forte hausse selon les données SignalConso. Le préjudice moyen déclaré par les PME victimes oscille entre 50 000 et 300 000 euros.
Cybermalveillance.gouv.fr, la plateforme nationale d’assistance, classe la fraude au changement de coordonnées bancaires dans son top 3 des menaces visant les entreprises depuis 2023. Dans son rapport d’activité 2025, le GIP ACYMA (qui opère Cybermalveillance.gouv.fr) relève que cette variante a dépassé la fraude au président classique en volume de signalements chez les PME de moins de 250 salariés.
Au niveau mondial, le FBI IC3 (Internet Crime Complaint Center) inclut la fraude au changement de coordonnées bancaires dans la catégorie BEC (Business Email Compromise), qui reste la catégorie de cybercriminalité la plus coûteuse avec 2,9 milliards de dollars de pertes déclarées aux États-Unis en 2023 (FBI, Internet Crime Report 2023). L’IC3 précise que la variante « vendor email compromise » (compromission de l’email d’un fournisseur) connaît la croissance la plus rapide.
Pourquoi ces chiffres sous-estiment la réalité
Trois facteurs déforment les statistiques officielles.
Le décalage de détection. Contrairement à la fraude au président, où le dirigeant découvre souvent l’arnaque en quelques jours, la fraude au faux RIB peut passer inaperçue pendant des semaines. Le paiement correspond à une vraie facture, pour un vrai service. Rien ne semble anormal jusqu’à la relance du fournisseur. Certaines entreprises ne découvrent la fraude qu’au moment du rapprochement bancaire trimestriel.
La honte et l’autocensure. La comptable qui a modifié le RIB sans vérifier ressent une culpabilité qui freine le signalement. Le dirigeant préfère absorber la perte plutôt que d’admettre publiquement une faille dans ses processus. Selon les observations des services de police, une minorité de victimes portent plainte.
La confusion des catégories. La fraude au changement de RIB est tantôt classée comme « escroquerie », tantôt comme « cybercriminalité », tantôt comme « fraude bancaire » dans les statistiques pénales. Il n’existe pas de code d’infraction spécifique pour cette variante.
L’affaire Pathé et les cas français qui ont marqué
L’affaire Pathé (2018, 19,2 millions d’euros) reste le cas de BEC le plus médiatisé en France, même s’il relève davantage de la fraude au président classique. Mais plusieurs affaires françaises impliquent spécifiquement la fraude au changement de RIB.
Société de négoce dans le Sud-Ouest (2020). Trois factures fournisseur détournées via un changement de coordonnées bancaires frauduleux. Préjudice : 210 000 euros. L’escroc avait compromis la boîte email du fournisseur et intercepté un échange de facturation en cours. La PME n’a découvert la fraude que lorsque le fournisseur a menacé de suspendre les livraisons pour impayés.
ETI du BTP en Rhône-Alpes (2022). Un email provenant d’un domaine sosie (un tiret ajouté au nom du sous-traitant) demande un changement de RIB. Le service comptabilité met à jour les coordonnées et règle cinq factures sur deux mois. Préjudice : 430 000 euros. L’enquête a révélé que le domaine sosie avait été enregistré six semaines avant la première demande.
Cabinet d’expertise comptable en Île-de-France (2023). Ironie cruelle : le cabinet qui conseille ses clients sur les procédures anti-fraude se fait lui-même piéger. Un email « du bailleur » demande un changement de coordonnées pour le paiement du loyer. Deux trimestres de loyer sont virés sur un compte en Bulgarie. Préjudice : 94 000 euros.
PME agroalimentaire en Bretagne (2024). Combinaison email + appel téléphonique. L’escroc envoie d’abord l’email de changement de RIB depuis un domaine sosie, puis appelle le standard de l’entreprise en se faisant passer pour le commercial du fournisseur qui « confirme » le changement. Double validation sociale. Préjudice : 176 000 euros.
Ces cas partagent un point commun : à chaque fois, la fraude aurait été stoppée par un simple appel téléphonique au fournisseur sur un numéro déjà connu.
Anatomie de l’attaque : les cinq phases
La fraude au changement de RIB suit un schéma reproductible. Le comprendre permet de le détecter.
Phase 1 : la reconnaissance (J-60 à J-14)
L’attaquant identifie une relation commerciale entre deux entreprises. Les sources sont multiples et légales.
Les sites web des entreprises. Les pages « partenaires », « clients » et « fournisseurs » révèlent les relations commerciales. Les références et témoignages clients publiés sur le site du fournisseur exposent ses clients.
Les réseaux sociaux professionnels. LinkedIn permet de repérer les personnes en charge de la comptabilité chez l’entreprise cible et les contacts commerciaux chez le fournisseur. Un post du type « Ravi de travailler avec [fournisseur] depuis 5 ans » fournit exactement l’information dont l’escroc a besoin.
Le registre du commerce. Infogreffe et Societe.com donnent les comptes annuels, les fournisseurs significatifs mentionnés dans les annexes, et la structure de gouvernance.
Les fuites de données. Les bases de données volées vendues sur les forums du dark web contiennent souvent des fils de correspondance email complets entre entreprises. L’escroc qui achète une base volée contenant des échanges entre la PME et son fournisseur dispose de tout : adresses email exactes, signatures, formats de factures, numéros de commande, montants habituels.
Phase 2 : la compromission ou l’imitation (J-14 à J-1)
L’attaquant a deux options pour se faire passer pour le fournisseur. Le choix entre les deux dépend de son niveau de sophistication et des protections en place.
Option A : la compromission de la boîte email du fournisseur. C’est le scénario le plus dangereux. L’escroc obtient l’accès à la boîte email d’un commercial ou d’un comptable du fournisseur, généralement via un phishing préalable ou un mot de passe volé. À partir de ce compte légitime, il peut lire les échanges en cours, identifier les factures à venir, et envoyer l’email de changement de RIB depuis l’adresse réelle du fournisseur. Les protections techniques (SPF, DKIM, DMARC) ne détectent rien : l’email est authentique.
Cette technique s’apparente au spear phishing dans sa phase préparatoire : l’attaquant cible d’abord le fournisseur pour ensuite atteindre le client final. C’est une attaque en deux temps, où le fournisseur est le vecteur involontaire.
Option B : le domaine sosie (lookalike domain). L’escroc enregistre un domaine presque identique à celui du fournisseur. Exemples : fourni-ture.com au lieu de fourniture.com, fournlture.com (avec un L minuscule à la place du I), fourniture-group.com. Coût d’enregistrement : 10 euros. L’email envoyé depuis ce domaine passe les vérifications SPF et DKIM (il est légitime pour le domaine sosie). Seul un examen attentif de l’adresse de l’expéditeur permet de détecter la supercherie.
Le spoofing d’adresse email est la troisième technique possible : l’escroc falsifie le champ « From » pour afficher l’adresse réelle du fournisseur. Mais cette technique est bloquée si le domaine du fournisseur a un enregistrement DMARC en mode reject. En France, moins de la moitié des domaines d’entreprises avaient un enregistrement DMARC en 2024, et une minorité en mode reject.
Phase 3 : l’email de changement de RIB (Jour J)
L’email type ressemble à ceci :
De : comptabilite@fourni-ture.com (domaine sosie) Objet : Mise à jour de nos coordonnées bancaires
Madame, Monsieur,
Nous vous informons que notre société a changé d’établissement bancaire. Veuillez trouver ci-joint notre nouveau relevé d’identité bancaire (RIB) à utiliser pour les prochains règlements.
Ce changement prend effet immédiatement. Nous vous remercions de bien vouloir mettre à jour nos coordonnées dans votre base.
N’hésitez pas à nous contacter pour toute question.
Cordialement, Service comptabilité [Fournisseur]
L’email est sobre, professionnel, dépourvu d’urgence agressive. C’est précisément ce qui le rend redoutable : il ne déclenche pas les signaux d’alerte habituels du phishing (urgence, menace, cadeau). Il se fond dans le flux normal des communications commerciales.
Le RIB joint est un document PDF bien formaté, avec l’en-tête d’une banque européenne (souvent une banque en Lituanie, Estonie, Lettonie, Chypre ou Malte, des pays de la zone SEPA où l’ouverture de compte est rapide avec des documents d’identité falsifiés).
Phase 4 : le paiement (J+1 à J+60)
La comptable met à jour la fiche fournisseur et règle les factures suivantes sur les nouvelles coordonnées. Chaque paiement semble normal : il correspond à une vraie commande, un vrai bon de livraison, un vrai montant. La seule anomalie est le numéro de compte destinataire, et personne ne vérifie un IBAN à chaque paiement.
La durée de la fraude dépend du cycle de facturation. Un fournisseur facturé mensuellement permet à l’escroc de détourner un à trois paiements avant la détection. Un fournisseur facturé à la livraison peut permettre le détournement de dizaines de paiements sur plusieurs semaines.
Phase 5 : la découverte et la panique (J+30 à J+90)
La fraude est découverte de l’une de ces trois manières.
Le fournisseur réclame. Le vrai fournisseur, qui n’a pas reçu ses paiements, envoie une relance. Le service comptabilité vérifie, constate que les virements ont bien été effectués, mais sur un compte que le fournisseur ne reconnaît pas.
Le rapprochement bancaire. Lors de la clôture mensuelle ou trimestrielle, un écart apparaît entre les sommes virées et les confirmations du fournisseur.
L’alerte bancaire. Plus rarement, la banque signale un virement vers un compte inhabituel. Ce mécanisme de détection est plus fréquent depuis l’arrêt Etna Industrie (Cour de cassation, 2018), qui a renforcé le devoir de vigilance des banques.
Résumé des 5 phases de l’attaque
| Phase | Durée | Action de l’attaquant | Signal de détection |
|---|---|---|---|
| Reconnaissance | J-30 à J-7 | Identifie le fournisseur, le contact comptable, le format des emails | Aucun (l’attaquant est invisible) |
| Compromission/imitation | J-7 à J-1 | Pirate la boîte email du fournisseur ou crée un domaine sosie | Alerte de connexion suspecte côté fournisseur |
| Email de changement de RIB | Jour J | Envoie l’email avec le nouveau RIB et un prétexte crédible | Vérification SPF/DKIM/DMARC, contre-appel |
| Paiement(s) frauduleux | J+1 à J+60 | Reçoit les virements sur le compte frauduleux | Rapprochement bancaire, alerte IBAN pays inhabituel |
| Découverte | J+30 à J+90 | Disparaît avec les fonds | Relance du vrai fournisseur, écart comptable |
Pourquoi les services comptables sont la cible principale
La fraude au changement de RIB vise systématiquement le service comptabilité. Ce choix n’est pas un hasard : il exploite les caractéristiques structurelles de la fonction.
Volume de transactions élevé. Un service comptabilité de PME traite des dizaines à des centaines de paiements par mois. La mise à jour d’un RIB fournisseur est une opération de routine, pas un événement exceptionnel. L’escroc se glisse dans le flux normal.
Habitude de conformité. Les comptables sont formés pour exécuter les paiements conformément aux factures et aux instructions reçues. Leur réflexe professionnel est de traiter, pas de questionner. Un email de changement de coordonnées bancaires est traité comme n’importe quelle demande administrative.
Faible interaction directe avec les fournisseurs. Dans beaucoup de PME, la comptable n’a pas de contact personnel régulier avec les fournisseurs. Les échanges se font par email, par courrier, par EDI. Le comptable n’a pas la « sensation » qu’il y a quelque chose d’anormal, parce qu’il ne connaît pas la voix ni le comportement habituel de son interlocuteur chez le fournisseur.
Pression des délais de paiement. Les délais légaux de paiement (60 jours calendaires ou 45 jours fin de mois, article L441-10 du Code de commerce) créent une pression à régler rapidement. Retarder un paiement pour vérifier un RIB peut sembler excessif quand le retard entraîne des pénalités. Les escrocs le savent et envoient leurs emails de changement de RIB juste avant les échéances de paiement.
Solitude fonctionnelle. Dans les PME de 10 à 100 salariés, la comptabilité repose souvent sur une à deux personnes. La séparation des tâches (celui qui initie le paiement n’est pas celui qui le valide) est absente ou théorique. Il n’y a personne vers qui se tourner pour un second avis rapide.
Les techniques d’ingénierie sociale spécifiques à cette fraude
La fraude au changement de RIB utilise un registre d’ingénierie sociale différent de la fraude au président. Pas d’urgence criante, pas de pression hiérarchique, pas de confidentialité martelée. L’approche est plus subtile, et c’est ce qui la rend difficile à détecter.
La banalité comme arme
L’email de changement de RIB est volontairement banal. Il ne demande pas un virement exceptionnel : il demande une mise à jour administrative. Le ton est neutre, professionnel, sans faute. L’escroc ne cherche pas à déclencher une réaction émotionnelle : il cherche à passer inaperçu.
Cette stratégie exploite ce que les psychologues cognitifs appellent le « traitement périphérique » de l’information. Quand un message ne déclenche pas de signal d’alerte, le cerveau le traite en mode automatique (Système 1 de Kahneman) sans activer l’analyse critique (Système 2). L’email est lu, classé comme « procédure normale », et traité en conséquence.
L’insertion dans un échange existant
Dans les cas où l’escroc a compromis la boîte email du fournisseur, il peut répondre à un fil de discussion existant. L’email de changement de RIB arrive en réponse à un échange sur une commande en cours, avec l’historique de la conversation visible en dessous. Le comptable voit un message qui s’inscrit dans un contexte légitime, et la barrière de suspicion tombe.
Cette technique, appelée « conversation hijacking » ou « thread hijacking », est considérée par le FBI comme la variante de BEC la plus difficile à détecter. L’email ne présente aucune anomalie technique et s’intègre dans un contexte que la victime reconnaît.
Le timing calculé
Les escrocs envoient l’email de changement de RIB à des moments stratégiques.
Juste avant une grosse facture. Si l’escroc a accès à la boîte email du fournisseur, il sait quand les factures partent et peut envoyer le changement de RIB quelques jours avant.
Pendant les congés du contact habituel. Si le commercial ou le comptable du fournisseur avec lequel l’entreprise échange habituellement est en vacances, l’email de changement est envoyé par un « collègue qui assure l’intérim ». La victime ne peut pas vérifier auprès de son contact habituel.
En période de clôture comptable. Le volume de traitements est élevé, la pression est forte, et la vigilance individuelle est au plus bas.
La pièce justificative falsifiée
L’email est souvent accompagné d’un RIB au format PDF, parfois d’une lettre sur papier à en-tête du fournisseur expliquant le changement de banque. Ces documents sont faciles à produire : un modèle de RIB se crée en cinq minutes avec n’importe quel logiciel de traitement de texte. Les en-têtes d’entreprises sont disponibles sur leurs sites web, leurs devis et leurs factures.
La détection technique : ce que révèlent les en-têtes email
Quand un email de changement de RIB arrive, quelques vérifications techniques permettent de lever le doute. Ces vérifications ne sont pas instinctives, mais elles s’apprennent.
Examiner l’adresse de l’expéditeur (pas le nom affiché)
Le nom affiché dans un client email (« Comptabilité Fournisseur XYZ ») est indépendant de l’adresse email réelle. Un escroc peut afficher n’importe quel nom. Il faut vérifier l’adresse email complète : comptabilite@fourni-ture.com n’est pas comptabilite@fourniture.com.
Sur Outlook, cliquez sur le nom de l’expéditeur pour faire apparaître l’adresse complète. Sur Gmail, cliquez sur la flèche à côté de « à moi » sous le nom de l’expéditeur. Sur les clients mobiles, le geste est moins intuitif, ce qui explique le taux de détection plus faible sur smartphone.
Vérifier le domaine
Si l’adresse semble correcte, vérifiez le domaine. Le domaine fourniture.com appartient-il au fournisseur ? Un WHOIS rapide (via whois.domaintools.com ou who.is) indique la date de création du domaine, le registrar et le pays d’enregistrement. Un domaine créé il y a deux semaines et enregistré chez un registrar estonien n’est probablement pas celui de votre fournisseur français historique.
Analyser les en-têtes complets
Les en-têtes complets de l’email contiennent les résultats des vérifications SPF, DKIM et DMARC. Pour une analyse détaillée des en-têtes, consultez notre guide Comment tracer l’origine d’un email suspect en analysant les en-têtes.
Ce qu’il faut chercher dans les en-têtes :
Authentication-Results: si SPF et DKIM échouent (« fail ») et que DMARC affiche « fail », l’email est probablement usurpé.Received: from: les lignes « Received » montrent le chemin du message. Un email prétendument envoyé depuis la France mais transitant par un serveur en Europe de l’Est mérite une vérification.Reply-To: si l’adresse de réponse diffère de l’adresse d’envoi, c’est un signal d’alerte fort. L’escroc qui envoie depuis un domaine sosie peut diriger les réponses vers un autre domaine encore.
Vérifier le RIB fourni
Un RIB français commence par FR suivi de 2 chiffres de clé, puis du code banque (5 chiffres), du code guichet (5 chiffres), du numéro de compte et de la clé RIB. Le code pays de l’IBAN indique la localisation de la banque : FR pour la France, LT pour la Lituanie, EE pour l’Estonie, CY pour Chypre.
Si votre fournisseur est une entreprise française qui a toujours eu un compte en France et que le nouveau RIB commence par LT ou EE, la question mérite d’être posée. Un fournisseur français peut légitimement avoir un compte à l’étranger, mais c’est suffisamment rare pour justifier une vérification.
Le protocole de prévention : cinq mesures concrètes
La prévention de la fraude au changement de RIB repose sur des mesures organisationnelles simples. Aucune ne nécessite d’investissement technique lourd.
1. Le contre-appel systématique
C’est la mesure la plus efficace et la moins coûteuse.
Règle : tout changement de coordonnées bancaires d’un fournisseur doit être vérifié par un appel téléphonique au fournisseur, sur un numéro que l’entreprise possède déjà (contrat original, bon de commande, annuaire interne). Jamais sur un numéro fourni dans l’email de notification.
Mise en œuvre : créez un registre interne des numéros de téléphone vérifiés de vos fournisseurs principaux. Quand un changement de RIB arrive, le comptable appelle le numéro du registre et demande une confirmation orale. Si le contact n’est pas joignable, le paiement est suspendu jusqu’à confirmation.
Difficulté : faire accepter le délai. Un appel de vérification prend 5 minutes. Certains comptables considèrent que c’est du temps perdu. Jusqu’au jour où les 5 minutes auraient évité une perte de 200 000 euros.
2. Une adresse email réservée aux changements bancaires
Règle : les changements de coordonnées bancaires ne sont acceptés que s’ils sont envoyés à une adresse email spécifique (par exemple rib@entreprise.fr), et non dans le flux de correspondance commercial habituel.
Pourquoi ça fonctionne : l’escroc qui compromet la boîte email du commercial du fournisseur ne connaît pas forcément cette adresse réservée. Et s’il envoie le changement de RIB à l’adresse de correspondance habituelle, le comptable sait qu’il ne doit pas le traiter sans passer par le canal prévu.
3. La double validation des modifications fournisseur
Règle : toute modification de la fiche fournisseur (RIB, adresse, contact) nécessite la validation de deux personnes distinctes. Le comptable qui reçoit la demande n’est pas celui qui l’approuve.
Dans les logiciels de gestion couramment utilisés par les PME françaises (Sage, Cegid, EBP, Pennylane), il est possible de paramétrer un workflow de validation pour les modifications de fiches fournisseur. Cette configuration prend une à deux heures et ne nécessite aucune compétence technique avancée.
4. La période de quarantaine
Règle : après un changement de coordonnées bancaires, les premiers paiements sont effectués en montant réduit (un virement test de quelques euros) et le fournisseur doit confirmer la réception avant que les montants normaux ne soient envoyés.
Cette mesure ajoute un à trois jours de délai au premier paiement après un changement de RIB. C’est un inconvénient mineur comparé au risque. Certaines grandes entreprises françaises l’appliquent systématiquement depuis les affaires de BEC des années 2013-2015.
5. La sensibilisation par la simulation
Les quatre mesures précédentes sont des procédures. Les procédures ne servent à rien si les personnes qui doivent les appliquer ne sont pas entraînées à reconnaître les situations où elles s’activent.
Un comptable qui reçoit un email de changement de RIB parfaitement rédigé, provenant d’une adresse qui semble correcte, n’activera la procédure de vérification que s’il a été exposé à des simulations réalistes. Les données de benchmarking (KnowBe4, 2024) montrent que la mise en situation fait passer le taux de clic de ~33 % à moins de 5 % en 12 mois de simulation régulière.
Pour une PME, cela signifie intégrer des scénarios de fraude au faux RIB dans le programme de simulation de phishing. Un faux email de changement de RIB envoyé au service comptabilité, suivi d’une page de remédiation expliquant les signaux d’alerte et le protocole à suivre. Pour concevoir un programme de simulation adapté, consultez le guide Procédure anti-fraude au virement pour PME.
Entraînez votre service comptable. La plateforme nophi.sh propose des scénarios de simulation spécifiques à la fraude au changement de RIB, avec suivi des résultats et remédiation immédiate.
La protection technique : verrouiller votre domaine et surveiller celui des autres
Les mesures organisationnelles protègent contre les fraudes entrantes. Les mesures techniques empêchent que votre propre domaine soit utilisé pour escroquer vos clients.
Configurer SPF, DKIM et DMARC
Si votre domaine n’a pas de politique DMARC en mode reject, un escroc peut envoyer un email qui affiche comptabilite@votreentreprise.fr comme expéditeur. Vos clients recevront cet email sans aucun avertissement.
La configuration prend quelques heures et protège durablement votre domaine contre l’usurpation directe. Le guide technique détaillé est couvert dans notre article Sécurité email des PME : tester SPF, DKIM et DMARC.
Les trois étapes :
- SPF en mode
-all(hard fail) : déclarez les serveurs autorisés à envoyer des emails pour votre domaine - DKIM activé chez votre fournisseur de messagerie (Google Workspace, Microsoft 365, OVH, etc.)
- DMARC progressivement monté de
p=none(observation) àp=reject(blocage) sur 4 à 8 semaines
Vérifiez votre protection maintenant. Le test gratuit de sécurité email nophi.sh analyse vos enregistrements SPF, DKIM et DMARC en quelques secondes.
Protéger les boîtes email des dirigeants et des comptables
Un compte email compromis rend toutes les protections SPF/DKIM/DMARC inutiles : l’email frauduleux provient réellement de l’adresse légitime. Le guide Protéger les emails des dirigeants couvre les mesures spécifiques pour sécuriser les comptes à risque.
Les mesures minimales :
- MFA (authentification multi-facteurs) sur toutes les boîtes email, sans exception. Microsoft estime que le MFA bloque 99,2 % des attaques par compromission de compte (Digital Defense Report 2024).
- Mots de passe uniques. Pas le même mot de passe que pour le compte personnel Netflix.
- Alertes de connexion. Activer les notifications de connexion depuis de nouveaux appareils ou de nouvelles localisations.
Surveiller les domaines sosies
Des services de surveillance de noms de domaine détectent l’enregistrement de domaines proches du vôtre. Si quelqu’un enregistre votreentreprise-groupe.com alors que votre domaine est votreentreprise.com, vous êtes alerté. Le coût est de quelques dizaines à quelques centaines d’euros par an, un montant dérisoire comparé au préjudice d’une fraude.
Cette surveillance peut aussi être effectuée manuellement via des outils comme DNSTwist (open source), qui génère automatiquement les permutations probables de votre domaine et vérifie si elles sont enregistrées.
Que faire si vous avez déjà payé : les premières 48 heures
Si vous découvrez que vous avez payé des factures sur un faux RIB, chaque heure compte. Le taux de récupération des fonds chute drastiquement après 48 heures.
Heure H : alerter la banque
Appelez immédiatement le service fraude de votre banque. Pas le conseiller clientèle, pas le standard : le service fraude ou le back-office des virements internationaux. Demandez le rappel de fonds (recall) via la procédure interbancaire SWIFT ou SEPA.
Pour les virements SEPA, un rappel est techniquement possible tant que le virement n’a pas été crédité et retiré du compte destinataire. En pratique, les escrocs vident le compte dans les heures suivant la réception.
Si votre banque tarde à réagir, insistez. Demandez l’enregistrement de l’appel. La jurisprudence française (arrêt Etna Industrie, Cour de cassation, 2018) reconnaît un devoir de vigilance des banques face aux virements suspects. Une banque qui traîne à traiter un rappel de fonds pourrait engager sa responsabilité.
Heure H+1 : déposer plainte
Direction le commissariat, la gendarmerie, ou la plateforme THESEE (Traitement harmonisé des enquêtes et signalements pour les e-escroqueries) du ministère de l’Intérieur. La loi LOPMI (janvier 2023) impose un dépôt de plainte dans les 72 heures suivant la connaissance de l’incident pour maintenir vos droits à indemnisation par l’assurance cyber.
Munissez-vous des éléments suivants : copies des emails frauduleux (avec en-têtes complets), copies des virements effectués, RIB frauduleux, et tout échange avec le fournisseur concerné.
Heure H+2 : sécuriser les preuves
Ne supprimez rien. Exportez les en-têtes complets des emails frauduleux. Prenez des captures d’écran des virements bancaires. Conservez les factures concernées. Notez la chronologie des événements (quand l’email a été reçu, quand le RIB a été modifié, quand les paiements ont été effectués).
Ces éléments seront nécessaires pour l’enquête judiciaire, pour le dossier d’assurance, et le cas échéant pour une action contre la banque.
Heure H+3 : alerter votre assureur
Si vous disposez d’une assurance cyber, déclarez le sinistre immédiatement. Joignez le récépissé de dépôt de plainte. La garantie « fraude au virement » ou « détournement de fonds » couvre généralement ce type d’incident, avec des plafonds de 50 000 à 500 000 euros pour les PME.
Attention : l’assureur vérifiera que vous aviez mis en place les mesures de prévention prévues au contrat (procédure de double validation, formation des employés, MFA activé). L’absence de ces mesures peut réduire l’indemnisation.
Heure H+4 : vérifier l’étendue de la compromission
Si l’email frauduleux provenait de l’adresse réelle du fournisseur (et non d’un domaine sosie), prévenez le fournisseur : sa boîte email est probablement compromise. Il doit réinitialiser ses mots de passe, activer le MFA, et vérifier si d’autres clients ont reçu des emails similaires.
Si l’email provenait d’un domaine sosie, vérifiez si d’autres employés de votre entreprise ont reçu des emails du même domaine. L’escroc a peut-être ciblé plusieurs personnes.
Jour J+1 : communication interne
Informez les équipes de ce qui s’est passé. Nommez le type de fraude, expliquez le mécanisme, et rappelez le protocole de vérification. Ne désignez pas la personne qui a traité le faux RIB : elle est victime de l’arnaque, pas responsable. Un incident réel est le meilleur outil pédagogique pour ancrer les réflexes de vérification.
Le cadre juridique : recours et responsabilités
Action contre la banque
La jurisprudence française reconnaît un devoir de vigilance des banques face aux opérations inhabituelles. L’arrêt Etna Industrie (Cass. com., 24 octobre 2018) a posé le principe : le banquier qui exécute un ordre de virement manifestement anormal sans vérification engage sa responsabilité.
Pour la fraude au changement de RIB, le caractère « manifestement anormal » est plus difficile à établir que pour la fraude au président : le virement correspond à une vraie facture, pour un vrai montant, et seule la destination est frauduleuse. Les tribunaux examinent si la banque aurait dû s’alerter devant un changement de compte destinataire vers un pays inhabituel.
Les résultats sont variables. Les entreprises qui avaient des procédures internes formalisées (et qui peuvent prouver que ces procédures existaient avant la fraude) obtiennent plus souvent gain de cause.
Sanctions pénales
La fraude au changement de RIB relève de l’escroquerie (article 313-1 du Code pénal) : 5 ans d’emprisonnement et 375 000 euros d’amende. En bande organisée : 10 ans et 1 million d’euros. En pratique, les auteurs opèrent depuis l’étranger et les arrestations sont rares. Moins de 5 % des affaires de FOVI aboutissent à une interpellation, selon les estimations des syndicats de police.
Obligations RGPD
Si la fraude a impliqué la compromission d’une boîte email contenant des données personnelles (clients, salariés, partenaires), une notification à la CNIL est obligatoire dans les 72 heures (article 33 du RGPD). Cette obligation s’ajoute au dépôt de plainte.
Les erreurs à ne pas commettre
Certaines réactions aggravent la situation au lieu de la résoudre.
Ne pas alerter le fournisseur. Si sa boîte email est compromise, d’autres clients sont potentiellement visés. Prévenir le fournisseur permet de limiter la casse.
Chercher à négocier avec l’escroc. Certaines entreprises répondent à l’adresse frauduleuse pour tenter de récupérer l’argent. C’est inutile et dangereux : l’escroc obtient la confirmation que la fraude a fonctionné et peut tenter un second round.
Punir la personne qui a traité le faux RIB. La sanction crée un climat de peur qui décourage le signalement des incidents futurs. La prochaine personne qui aura un doute ne dira rien, par peur d’être blâmée si c’était un faux positif. La bonne réaction : former, pas punir.
Retarder le dépôt de plainte. Chaque jour perdu réduit les chances de rappel de fonds et compromet l’indemnisation par l’assurance.
Ignorer les mesures correctives. Après une fraude, les procédures de vérification doivent être mises en place ou renforcées immédiatement. La probabilité d’une seconde tentative dans les mois suivants est élevée : les listes de victimes circulent entre les réseaux criminels.
Un test pour évaluer votre exposition
Répondez à ces cinq questions pour estimer le niveau de risque de votre entreprise face à la fraude au changement de RIB.
1. Votre domaine a-t-il un enregistrement DMARC en mode reject ? Si non, un escroc peut envoyer des emails en votre nom à vos clients pour leur demander de changer le RIB de paiement. Vérifiez avec le test gratuit nophi.sh.
2. Avez-vous un protocole écrit de vérification des changements de RIB ? Si le protocole n’existe pas ou n’est pas documenté, il ne sera pas appliqué sous pression.
3. Vos comptables savent-ils examiner une adresse email au-delà du nom affiché ? Si non, un domaine sosie passera inaperçu.
4. Le MFA est-il activé sur toutes les boîtes email de l’entreprise ? Si non, une boîte compromise peut servir de tremplin pour une fraude au changement de RIB visant vos clients.
5. Votre équipe comptable a-t-elle été exposée à au moins une simulation de fraude au faux RIB dans les 12 derniers mois ? Si non, la prochaine exposition sera la vraie.
Trois « non » ou plus : votre entreprise présente un niveau de risque élevé. Les mesures décrites dans cet article ne nécessitent ni budget conséquent ni compétence technique avancée. Elles demandent une décision et une heure de mise en place.
Thomas Ferreira est consultant en cybersécurité et fondateur de nophi.sh. Il accompagne les PME françaises dans la mise en place de programmes de sensibilisation au phishing et à la fraude au virement.
Ressources complémentaires :
- Test gratuit de sécurité email (SPF/DKIM/DMARC) - vérifiez si votre domaine est protégé contre l’usurpation
- Procédure anti-fraude au virement pour PME - protocole de vérification à mettre en place
- Protéger les emails des dirigeants - sécuriser les comptes à risque
- Fraude au président : les cas les plus coûteux en France - la variante par usurpation d’identité du dirigeant
- Sécurité email des PME : tester SPF, DKIM et DMARC - guide technique de configuration
- Comment tracer l’origine d’un email suspect - analyse des en-têtes email
- Cybermalveillance.gouv.fr - plateforme nationale d’assistance aux victimes
- ANSSI - Guide cybersécurité pour les TPE/PME - bonnes pratiques recommandées par l’État