La fraude au président consiste à piéger un collaborateur habilité à effectuer les paiements de l'entreprise, le but étant qu'il paie une fausse facture ou réalise un transfert d'argent non autorisé. (Photo: Shutterstock) 

La fraude au président consiste à piéger un collaborateur habilité à effectuer les paiements de l'entreprise, le but étant qu'il paie une fausse facture ou réalise un transfert d'argent non autorisé. (Photo: Shutterstock) 

À 61 millions d’euros, la fraude au président dont a été victime Caritas est l’une des plus élevées jamais réussies après celle de la banque belge Crelan en 2016. Mais pas un cas unique. Comment ça fonctionne.

Elle avait lieu autrefois le vendredi vers 16h. Juste avant un week-end bien mérité. Un coup de fil mettait la pression sur le comptable pour qu’il fasse au plus vite un virement, son patron étant en train de réaliser la meilleure affaire de sa vie. Finalement rattrapé par la justice en 2015, le Franco-Israélien Gilbert Chikli a souvent été présenté comme le pionnier de ce type d’arnaque. 

En mai dernier, il a fallu dans laquelle Teams, WhatsApp, YouTube et l’intelligence artificielle pour la voix du CEO avaient été utilisés par les fraudeurs. En début d’année, à Hong Kong, dans laquelle toutes les personnes présentes, dont le directeur financier, étaient des deep fakes.

Les temps changent mais les grands principes restent les mêmes.

1. Ingénierie sociale

La première étape, contrairement à ce qu’on peut lire, n’est pas un mail envoyé au directeur financier, mais une large prise de renseignements des mois auparavant: qui est qui, qui fait quoi… Dans le cas de Caritas, il n’est pas difficile de trouver l’organigramme, les rapports annuels et financiers ou encore les différents communiqués. Particularité: le directeur général de Caritas – et c’est là que cette fraude est particulièrement odieuse – a lui-même publié les dates de son pèlerinage, son parcours et le suivi de son aventure, puisqu’il a placé son initiative sous l’angle de l’appel à dons en faveur de la lutte contre la pauvreté des enfants.

2. L’attaque

Autrefois simple appel téléphonique, les attaques sont de plus en plus sophistiquées. Mais l’idée est, à partir d’un scénario crédible, de mettre le directeur financier ou celui qui a le contrôle des finances sous une pression extrême pour qu’il effectue une opération bancaire le plus rapidement possible, quitte à ne pas respecter les protocoles de sécurité en place. Par mail, soit les arnaqueurs prennent le contrôle de la boîte mail du CEO, soit ils créent une autre adresse au nom presque identique.

La particularité dans l’affaire Caritas est la durée et le nombre de virements effectués, selon 100.7, plus de 100 en quelques mois qui ont nécessité deux crédits, le troisième semblant avoir été refusé par une des deux banques luxembourgeoises. 

C’est particulier mais pas unique: en 2021, le groupe immobilier français Sefri-Cime avait procédé à 40 virements en plusieurs semaines pour 38 millions d’euros, partis sur les comptes de différentes sociétés en Europe. Sur le mode opératoire, un faux avocat avait appelé le comptable pour lui annoncer une opération de rachat de sociétés avec l’accord du CEO. Quelques minutes plus tard, il avait reçu un faux mail du dirigeant validant l’histoire de l’avocat. 

3. La réponse

C’est la grande inconnue. En 2016, la banque belge Crelan a perdu 70 millions d’euros et s’en est aperçue des mois plus tard lors d’un banal audit des finances. Tout dépend de la crédibilité de l’histoire et des moyens de pression sur la direction financière, le point commun des réussites étant le contournement des règles existantes devant l’urgence.

Deux dates dans le cas Caritas: le rapport annuel a été publié le 21 février et le directeur général a annoncé lui-même le 29 mai être en vadrouille jusqu’au 5 juillet sur 800 km entre Saint-Jean Pied-de-Port et la cathédrale de Saint-Jacques de Compostelle. Et c’est là que tout se serait «joué».

Le mois dernier, qui trouvait le message venu d’un autre numéro que celui qu’il avait du CEO Benedetto Vigna, un peu étrange. Et même le son de sa voix! Il lui a alors demandé de parler d’un livre dont ils avaient discuté quelques jours plus tôt et les escrocs ont disparu comme par magie…

Et après? 

Après, chaque cas est différent. CEO et directeurs financiers licenciés. Pas de sanction. Plaintes pour défaut de vigilance contre la banque de son pays qui autorise le ou les transferts, ou plaintes contre toutes les banques impliquées comme le prévoit le droit européen et pour autant que la destination finale des fonds soit en Europe. Activation ou pas du gel des avoirs par le juge d’instruction avec l’aide d’Eurojust si les faits sont découverts assez tôt. Tout est possible. «Nous ne sommes encore qu’à 1% de la connaissance de ce qui s’est passé», dit un expert sous couvert d’anonymat. Et pourtant, il est urgent de rétablir un semblant de confiance.

Articles Associés