L’immobilier dans le viseur des attaquants
L’immobilier cumule deux caractéristiques qui attirent les cybercriminels : des virements de montants très élevés et une quantité massive de données personnelles sensibles. Quand un acheteur transfère 300 000 euros pour acquérir un appartement, un seul email frauduleux intercepté au bon moment peut détourner la totalité de la somme. La monétisation est directe — pas besoin de revendre des données sur un marché parallèle.
La fraude au faux RIB notaire : le scénario le plus dévastateur
La fraude au faux RIB de notaire est devenue le cauchemar du secteur. Le mécanisme est simple : l’attaquant surveille les échanges entre le notaire, l’agent immobilier et l’acheteur. Au moment de l’appel de fonds pour la signature du compromis de vente ou de l’acte authentique, il envoie un email imitant l’étude notariale avec un RIB modifié. L’acheteur, pressé par les délais de signature, effectue le virement sur le compte du fraudeur. La Chambre des Notaires de Paris publie régulièrement des mises en garde sur cette arnaque, qui représente des pertes de plusieurs millions d’euros chaque année. C’est une forme de BEC (Business Email Compromise) adaptée aux spécificités de la transaction immobilière.
Les données personnelles : un trésor pour les attaquants
Une agence immobilière accumule des données d’une richesse exceptionnelle pour un attaquant. Les dossiers de location contiennent des pièces d’identité, des bulletins de salaire, des avis d’imposition, des relevés bancaires et des attestations employeur. Les dossiers d’achat ajoutent des offres de prêt, des plans de financement et des situations patrimoniales détaillées. Un syndic de copropriété gère les coordonnées et les données bancaires de dizaines ou centaines de copropriétaires. Chacune de ces données a une valeur de revente sur les marchés parallèles, et leur vol déclenche des obligations de notification au titre du RGPD.
Syndics et copropriétés : une surface d’attaque méconnue
Les syndics de copropriété gèrent des flux financiers importants (charges, travaux, fonds de réserve) et communiquent régulièrement avec des dizaines de copropriétaires par email. Un attaquant qui usurpe l’identité du syndic peut envoyer de faux appels de fonds avec un RIB frauduleux à l’ensemble des copropriétaires. L’attaque est d’autant plus efficace que les copropriétaires sont habitués à recevoir des demandes de paiement par email et ne vérifient pas systématiquement les coordonnées bancaires. L’ingénierie sociale exploite la confiance établie entre le syndic et les résidents.
Ce que disent les chiffres
Les données du secteur confirment une vulnérabilité réelle et mesurable.
Notre analyse : 1 057 entreprises immobilières passées au crible
Nous avons analysé les configurations de sécurité email (SPF, DKIM, DMARC) des domaines de 1 057 entreprises du secteur immobilier en France : agences, réseaux de mandataires, syndics de copropriété, promoteurs et administrateurs de biens. Le constat : 32 % obtiennent un score de C ou pire. Près d’un tiers des acteurs immobiliers analysés présentent des failles dans leurs protections email qui facilitent l’usurpation de leur identité. Un domaine mal configuré en DMARC ou en SPF permet à n’importe qui d’envoyer des emails en se faisant passer pour votre agence ou votre étude.
Nous avons également recensé 4 incidents de cyberattaques documentés dans notre base pour le secteur immobilier. Ces incidents — qui ne représentent que la partie visible — couvrent des fraudes au virement, des compromissions de messagerie et des vols de données personnelles de locataires et d’acheteurs.
Les statistiques du secteur
L’ANSSI alerte sur la progression des attaques ciblant les PME et les ETI dans son panorama de la cybermenace 2024. Les TPE et PME représentent la majorité des victimes de cyberattaques en France, et les agences immobilières — souvent des structures de 5 à 20 personnes — correspondent exactement à ce profil.
À l’échelle mondiale, le FBI Internet Crime Complaint Center (IC3) a mesuré 2,9 milliards de dollars de pertes liées au BEC en 2023. La fraude immobilière (real estate wire fraud) est explicitement identifiée comme l’une des catégories en plus forte croissance. En France, la plateforme Cybermalveillance.gouv.fr enregistre une hausse continue des signalements de fraude au virement dans les transactions immobilières.
Le coût d’un incident pour une agence immobilière ne se limite pas au montant détourné. Il faut ajouter la perte de confiance des clients, le temps de remédiation, les frais juridiques et les éventuelles sanctions RGPD. Pour une PME immobilière, un seul virement détourné peut représenter entre 50 000 et 400 000 euros — soit plusieurs mois de chiffre d’affaires.
Les attaques qui visent votre secteur
Les attaquants adaptent leurs scénarios aux habitudes de travail du secteur immobilier. Voici les méthodes les plus fréquentes.
Faux email de notaire avec RIB modifié
C’est l’attaque la plus rentable contre le secteur. L’attaquant compromet ou imite la messagerie d’une étude notariale et envoie un email à l’acheteur avec un nouveau RIB pour l’appel de fonds. Le message reprend le ton et la mise en forme habituels du notaire, mentionne le dossier en cours par son nom et cite le montant exact de la transaction. L’acheteur, concentré sur les délais de signature, effectue le virement sans vérification supplémentaire. Une variante cible l’agent immobilier lui-même pour détourner les commissions ou les dépôts de garantie.
Faux propriétaire ou faux locataire
L’attaquant usurpe l’identité d’un propriétaire bailleur et contacte l’agence pour demander un changement de coordonnées bancaires pour le versement des loyers. Dans l’autre sens, un faux locataire envoie un dossier de candidature contenant des documents piégés par un malware. Le gestionnaire locatif ouvre le PDF du « bulletin de salaire » ou de l’« avis d’imposition » et installe involontairement un logiciel malveillant qui donne accès au réseau de l’agence.
Fausse convocation d’assemblée générale de copropriété
L’attaquant imite le syndic et envoie aux copropriétaires une fausse convocation d’assemblée générale par email, avec un lien vers un portail de vote en ligne contrefait. Le portail demande des identifiants et des coordonnées bancaires « pour vérification ». Ce phishing exploite le fait que les copropriétaires s’attendent à recevoir ces communications et ne les remettent pas en question. Le typosquatting sur le nom de domaine du syndic rend l’email encore plus crédible.
Faux dossier de location avec malware
L’attaquant répond à une annonce de location et envoie un « dossier complet » à l’agence sous forme d’archive ZIP ou de lien de partage. Les fichiers contiennent un ransomware ou un cheval de Troie dissimulé dans un document Office ou PDF. Les agents immobiliers, qui reçoivent des dizaines de dossiers par semaine, ouvrent ces fichiers par réflexe sans vérification approfondie.
BEC ciblant les dirigeants d’agence
La fraude au président classique s’adapte au secteur : un email prétendument envoyé par le directeur de l’agence ou le responsable du réseau demande un virement urgent pour « sécuriser un mandat » ou « bloquer un bien avant la concurrence ». Le caractère temporel de l’immobilier (les biens partent vite) rend le prétexte d’urgence particulièrement crédible. Les attaquants ciblent aussi les gestionnaires de copropriété avec de fausses demandes de paiement de travaux urgents.
Fausses plateformes d’annonces immobilières
Un email imite une plateforme d’annonces (SeLoger, Leboncoin, PAP) et signale un problème avec un compte professionnel : « Votre annonce a été signalée », « Vérifiez votre identité pour maintenir vos annonces en ligne ». Le lien mène à une page de connexion contrefaite qui capture les identifiants. L’attaquant accède alors au compte professionnel et peut modifier les annonces ou contacter directement les prospects. C’est du spear phishing calibré sur les outils du quotidien.
RGPD et vos obligations
Le secteur immobilier est soumis au RGPD avec une intensité particulière en raison du volume et de la sensibilité des données traitées.
Les données que vous traitez sont particulièrement sensibles
Une agence immobilière traite trois catégories de données à fort risque :
- Données des locataires et candidats : pièces d’identité, bulletins de salaire, avis d’imposition, relevés bancaires, attestations employeur, quittances de loyer. La CNIL a rappelé dans ses recommandations sur le secteur immobilier que la collecte doit être limitée aux pièces strictement nécessaires.
- Données des acheteurs et vendeurs : plans de financement, offres de prêt, revenus, patrimoine, situations familiales. Ces informations transitent par email entre l’agence, le notaire, la banque et les parties, multipliant les points d’interception.
- Données des copropriétaires : coordonnées, données bancaires pour le prélèvement des charges, procès-verbaux d’assemblées générales, situations de comptes. Un syndic qui gère 50 copropriétés de 30 lots traite les données bancaires de 1 500 personnes.
Ce que le RGPD impose concrètement
Le règlement général sur la protection des données impose aux acteurs immobiliers :
- Des mesures techniques et organisationnelles pour protéger les données personnelles, dont la sécurisation de la messagerie et la sensibilisation des collaborateurs
- La notification à la CNIL dans les 72 heures en cas de violation de données (un phishing réussi qui expose des dossiers de location en constitue une)
- La tenue d’un registre des traitements documentant les catégories de données collectées et les mesures de protection
- Le respect du principe de minimisation : ne collecter que les données strictement nécessaires à la transaction
Un incident de phishing qui expose des pièces d’identité et des bulletins de salaire de candidats locataires déclenche une obligation de notification aux personnes concernées en plus de la CNIL. Les conséquences réputationnelles pour une agence dont le métier repose sur la confiance des clients sont considérables.
Pour un aperçu complet de vos obligations et de la manière dont nos rapports y répondent, consultez notre page Conformité.
Des scénarios de simulation adaptés à l’immobilier
Les simulations de phishing génériques ne fonctionnent pas dans l’immobilier. Les collaborateurs reçoivent quotidiennement des emails contenant des pièces jointes, des liens vers des portails et des demandes de virement. Il faut des scénarios qui reproduisent ces interactions métier pour mesurer la vulnérabilité réelle.
Fausse correspondance notariale
Un email imitant une étude notariale demande la confirmation d’un virement ou transmet un « nouvel appel de fonds » avec un RIB modifié. Le message cite un dossier réel (nom de l’acquéreur, adresse du bien, montant de la transaction). Ce scénario teste la capacité des collaborateurs à vérifier systématiquement les coordonnées bancaires par un canal indépendant (appel téléphonique au notaire sur un numéro vérifié).
Faux partage de documents client
Un email imite un client (acquéreur, vendeur ou locataire) qui partage son dossier via un lien vers un espace de stockage en ligne. Le lien demande une authentification pour accéder aux documents. Ce scénario mesure le réflexe de vérification de l’URL et de l’expéditeur avant de saisir des identifiants. Il cible les négociateurs, les gestionnaires locatifs et les assistants qui manipulent des dizaines de dossiers par semaine.
Fausse notification de plateforme d’annonces
Un email imite SeLoger, Leboncoin ou un portail professionnel et signale un problème avec le compte de l’agence. Le lien mène à une page de connexion contrefaite. Ce scénario évalue la vigilance face aux tentatives de vol d’identifiants sur les outils du quotidien. Les variantes incluent de fausses alertes de prospects intéressés par un bien, avec un lien piégé.
Faux appel de charges de copropriété
Pour les syndics, un email imite un fournisseur habituel (entreprise de nettoyage, chauffagiste, ascensoriste) et joint une facture avec un RIB modifié ou un lien vers un « portail de facturation ». Ce scénario teste les procédures internes de vérification des changements de coordonnées bancaires des prestataires.
Chaque simulation ratée déclenche une micro-formation de 3 à 5 minutes ciblée sur les signaux d’alerte du scénario. Pas de session de deux heures en salle de réunion : un retour contextuel et immédiat sur l’erreur commise, avec les réflexes à adopter.
Protéger votre agence immobilière
La protection contre le phishing dans le secteur immobilier repose sur quatre étapes progressives.
Étape 1 : Auditer votre sécurité email
Avant toute chose, vérifiez que votre domaine email n’est pas vulnérable à l’usurpation d’identité. Un domaine sans DMARC en mode « reject », sans DKIM correctement configuré ou avec un SPF trop permissif permet à n’importe qui d’envoyer des emails en se faisant passer pour votre agence. Nos données montrent que 32 % des entreprises immobilières analysées ont des configurations insuffisantes — et l’usurpation d’identité email est le vecteur principal de la fraude au faux RIB.
Testez gratuitement la sécurité email de votre domaine en 30 secondes. Le rapport détaille votre configuration SPF, DKIM, DMARC et MTA-STS, avec des recommandations de correction prioritaires.
Étape 2 : Lancer une campagne de simulation de référence
La première campagne de simulation de phishing établit votre taux de clic de référence (baseline). Nous utilisons des scénarios adaptés au secteur immobilier — faux emails de notaire, faux dossiers de location, fausses notifications de plateformes — pour mesurer la vulnérabilité réelle de vos équipes. Ce diagnostic permet d’identifier les profils les plus exposés : négociateurs, gestionnaires locatifs, comptables, assistants de direction.
Étape 3 : Former par micro-learning contextuel
Chaque collaborateur qui échoue à une simulation reçoit immédiatement une micro-formation ciblée sur les signaux d’alerte du scénario. Un négociateur qui a cliqué sur un faux lien SeLoger apprend à vérifier l’URL et l’expéditeur. Un comptable qui a ouvert un faux RIB de notaire apprend la procédure de contre-appel téléphonique. Ce format court est plus efficace que les formations annuelles génériques. Les dirigeants reçoivent des scénarios adaptés aux attaques de whaling et de fraude au président.
Étape 4 : Générer les rapports de conformité RGPD
Chaque campagne produit automatiquement les métriques de sensibilisation attendues par le RGPD : taux de participation, taux de signalement, évolution du taux de clic, couverture des équipes formées. Ces rapports documentent que vous avez mis en place les « mesures organisationnelles appropriées » exigées par le règlement et sont disponibles en cas de contrôle CNIL ou de réclamation d’un client dont les données auraient été compromises.
Votre domaine email est-il protégé contre l’usurpation d’identité ? 32 % des entreprises immobilières que nous avons analysées présentent des failles. Testez le vôtre gratuitement — le diagnostic prend 30 secondes et le rapport est immédiat.
Questions fréquentes
Pourquoi les agences immobilières sont-elles ciblées par le phishing ?
Les transactions immobilières génèrent des virements de montants élevés (100 000 à 500 000 euros et plus). Un seul email frauduleux imitant un notaire ou un agent peut détourner l'intégralité du prix d'un bien. Les agences manipulent aussi des données personnelles sensibles (pièces d'identité, bulletins de salaire, avis d'imposition) qui ont une forte valeur de revente.
Qu'est-ce que la fraude au virement notaire dans l'immobilier ?
L'attaquant intercepte ou imite les échanges entre le notaire et l'acheteur. Il envoie un email avec un RIB modifié au moment de l'appel de fonds pour la signature du compromis ou de l'acte authentique. L'acheteur vire le prix du bien sur le compte du fraudeur. Cette arnaque est en forte progression en France et fait l'objet d'alertes régulières de la part des chambres des notaires.
Le RGPD impose-t-il des obligations spécifiques aux agences immobilières ?
Oui. Les agences immobilières collectent et traitent des données personnelles sensibles : pièces d'identité, bulletins de salaire, avis d'imposition, relevés bancaires, situations familiales. Le RGPD impose de protéger ces données par des mesures techniques et organisationnelles adaptées, de notifier la CNIL en cas de violation dans les 72 heures, et de documenter les traitements dans un registre.
Comment un syndic de copropriété peut-il se protéger du phishing ?
Un syndic doit former ses collaborateurs à identifier les emails frauduleux (faux appels de fonds, fausses convocations d'AG, faux fournisseurs demandant un changement de RIB). Les simulations de phishing avec des scénarios adaptés à la copropriété sont la méthode la plus efficace. La sécurisation du domaine email (SPF, DKIM, DMARC) empêche l'usurpation de l'identité du syndic auprès des copropriétaires.
Quels scénarios de phishing ciblent le secteur immobilier ?
Les scénarios les plus fréquents : le faux email de notaire avec un RIB modifié pour l'appel de fonds, le faux dossier de location contenant un malware, la fausse convocation d'assemblée générale de copropriété avec un lien piégé, et l'arnaque au changement de coordonnées bancaires d'un fournisseur (artisan, entreprise de maintenance).
Comment protéger les données des locataires et des acheteurs ?
Trois mesures prioritaires : sécuriser votre domaine email pour empêcher l'usurpation d'identité, former vos collaborateurs à détecter le phishing par des simulations régulières, et mettre en place des procédures de vérification systématique pour les virements (double validation, rappel téléphonique sur un numéro connu). Le chiffrement des pièces sensibles et la limitation des accès complètent le dispositif.