Blog Spaceship

Qu’est-ce que la compromission des e-mails professionnels (BEC) ?

Chaque année, des criminels repartent avec des milliards. Non pas en s’introduisant dans de luxueuses galeries d’art ou des coffres-forts bancaires, mais en envoyant le bon e-mail à la bonne personne au bon moment. Voici comment ils s’y prennent.

Dans cet article, vous découvrirez :

  • Ce qu’est réellement la compromission des e-mails professionnels

  • Comment ces attaques sont menées, étape par étape

  • Les types d’attaques BEC les plus courants

  • Un exemple concret d’une attaque à 37 millions de dollars

  • Comment protéger votre entreprise avant qu’elle ne devienne une cible

Qu’est-ce que la compromission des e-mails professionnels en cybersécurité ?

La compromission des e-mails professionnels est une cyberattaque dans laquelle des criminels se font passer pour quelqu’un en qui vous avez confiance afin de vous pousser à envoyer de l’argent ou à divulguer des données sensibles. Ce qui la rend dangereuse, c’est la patience et la préparation. Les attaquants passent des semaines à apprendre comment une entreprise communique, qui détient l’autorité et quand frapper. Au moment où l’e-mail arrive, il ressemble à un e-mail normal envoyé par quelqu’un que vous connaissez.

Comment fonctionne une attaque de compromission des e-mails professionnels ?

Il existe un mode opératoire éprouvé pour ces attaques, et les escrocs le suivent à chaque fois.

Étape 1 – Trouver la cible

Tout l’intérêt d’une attaque de compromission des e-mails professionnels est qu’elle doit être convaincante. Heureusement pour les attaquants, Internet est une mine d’or d’informations sur les cibles potentielles. Un rapide coup d’œil à votre profil sur les réseaux sociaux peut révéler votre poste, vos amis proches et même votre ton de voix. Assemblez cela avec des communiqués de presse sur les futures orientations de votre entreprise et des biographies issues des sites web d’entreprise, et cela commence à paraître crédible.

Les attaquants peuvent récupérer toutes ces informations et, en quelques secondes, créer un e-mail qui ressemble en tout point à un vrai.

Étape 2 – Entrer dans la boîte de réception

Pour que le contenu de l’e-mail paraisse authentique, les attaquants doivent l’envelopper dans un emballage crédible et soigné. Si l’adresse e-mail ne semble pas provenir d’une source de confiance, toute l’arnaque tombe à plat.

Les attaquants peuvent usurper le domaine en enregistrant un nom comme acme-corp.com au lieu de acmecorp.com. Ou, s’ils sont assez habiles, pirater la vraie boîte de réception, ce qui rend la distinction avec un message authentique presque impossible.

Après tout, si ça ressemble à un canard et que ça cancane comme un canard, la plupart des gens penseront que c’est un canard.

Étape 3 – Instaurer la confiance

Avec ces attaques, la patience est essentielle. Les attaquants peuvent se cacher dans une boîte de réception piratée pendant des semaines, lire les fils d’e-mails et apprendre les styles de communication. Lorsque l’e-mail arrive enfin, il se fond dans les précédents, en reproduisant le ton et le déroulé de la conversation.

Étape 4 – Formuler la demande

Une fois que les attaquants vous connaissent sur le bout des doigts — votre ton, les noms et fonctions de vos collègues, et ce qui se passe dans votre entreprise — et qu’ils ont réussi à s’infiltrer dans votre messagerie, la demande est envoyée.

Il s’agit généralement de quelque chose qu’on ne peut pas facilement annuler. Cela peut impliquer l’envoi d’argent vers un compte bancaire ou le partage d’informations privées. L’essentiel, c’est que cela soit irréversible. 

Une fois que la cible se rend compte que quelque chose ne va pas, l’attaquant a besoin que les dégâts soient déjà faits. S’il est particulièrement sournois, il peut même envoyer le message pendant une période de fêtes, quand tout le monde baisse sa garde et que les chances de succès sont plus grandes.

Étape 5 – Disparaître sans laisser de trace

Une fois les fonds envoyés, ils sont rapidement déplacés à travers une série de comptes intermédiaires. Ceux-ci sont généralement basés à l’étranger, ce qui rend la trace de l’argent très difficile à suivre, même pour les forces de l’ordre.

Exemple de compromission des e-mails professionnels

La compromission des e-mails professionnels est le boss final des attaques numériques. Elle implique généralement de grandes entreprises et des sommes d’argent vertigineuses. 

En 2019, l’un des principaux fournisseurs de Toyota a perdu des dizaines de millions lors d’un seul virement. L’attaquant s’est introduit dans le système de messagerie de Toyota Boshoku. Il a lu les messages et appris comment l’entreprise communiquait. Lorsqu’un important transfert d’argent a été évoqué dans une conversation, il a demandé à une personne de l’entreprise ayant l’autorité de déplacer des fonds de mettre à jour les coordonnées bancaires du virement. Cela semblait légitime, et l’argent a été envoyé.

Comme ça, 37 millions de dollars, envolés.

Types d’attaques de compromission des e-mails professionnels

Tous les exemples de compromission des e-mails professionnels ne se ressemblent pas. Bien sûr, l’objectif est toujours d’amener les gens à remettre autant d’argent que possible, mais l’approche peut être très différente.

Fraude au PDG (usurpation d’identité d’un dirigeant)

C’est la forme de BEC la plus connue. Un attaquant se fait passer pour un dirigeant senior, généralement un PDG ou un directeur financier, et fait pression sur quelqu’un du service financier pour déplacer de l’argent. Cela fonctionne à cause du rapport de pouvoir. Quand le patron veut quelque chose, la plupart des gens ne s’arrêtent pas pour demander pourquoi. Si cela est ensuite combiné à une histoire crédible, cela suffit pour pousser quelqu’un à agir sans réfléchir à deux fois.

Compromission des e-mails fournisseurs

Les attaquants ciblent les relations extérieures à l’entreprise plutôt que de prétendre être quelqu’un en interne. Ils visent des fournisseurs et prestataires de confiance, s’insèrent dans des conversations par e-mail existantes et remplacent les véritables informations de paiement par les leurs. Du point de vue de la victime, cela ressemble à une mise à jour de facture de routine provenant d’un fournisseur avec lequel elle travaille depuis des années.

Prise de contrôle de compte

C’est la variante la plus dangereuse, car elle n’implique aucune usurpation. L’attaquant utilise le vrai compte. L’e-mail provient d’une vraie adresse et emploie le bon ton. Le message paraît totalement normal, parce que techniquement, il l’est.

Détournement de paie

Celui-ci ne cible pas l’argent de l’entreprise. Il cible plutôt les employés. Les attaquants se font passer pour les RH ou pour un employé et demandent une mise à jour de la paie, redirigeant discrètement un salaire vers un compte qu’ils contrôlent. 

La victime ne s’en rend compte qu’au jour de paie et, comme les montants sont plus faibles et que la demande semble normale, cela déclenche rarement une alerte à la fraude. C’est une version plus lente du BEC, mais si suffisamment d’employés sont touchés, cela grimpe vite.

BEC vs phishing – Quelle est la différence ?

Les e-mails de phishing existent depuis longtemps, et la plupart des gens savent à quoi ils ressemblent. C’est celui qui vous dit que vous avez gagné un prix, ou qu’un prince nigérian a besoin de votre aide. Ils sont envoyés en masse et reposent sur le volume pur pour surprendre quelqu’un.

Là où le phishing est un filet, le BEC est un tireur d’élite. Les attaquants passent des semaines à étudier une entreprise, parfois une personne en particulier. Au moment où l’e-mail arrive, il ressemble à un message du mardi matin envoyé par quelqu’un que vous connaissez.

Le phishing cherche généralement à obtenir vos identifiants de connexion, mais le BEC saute complètement cette étape et vise directement l’argent ou les données.

Comment repérer une attaque de compromission des e-mails professionnels

Les attaques BEC sont conçues pour paraître normales. Mais si vous savez quoi chercher, les signes sont là.

  • L’urgence— Un e-mail vous poussant à transférer de l’argent rapidement, sans possibilité de vous arrêter pour vérifier.

  • Le changement soudain — Un fournisseur ou un collègue a soudainement mis à jour ses informations de paiement sans raison apparente.

  • L’adresse presque correcte — L’e-mail de l’expéditeur ne diffère du vrai que d’un seul caractère.

  • Le ton qui sonne faux— Quelque chose semble étrange, trop formel, trop décontracté ou bizarrement secret.

  • La demande sortie de nulle part — On vous demande de faire quelque chose qui passerait normalement par un autre canal.

Comment prévenir une attaque de compromission des e-mails professionnels

Savoir comment ces attaques fonctionnent représente déjà la moitié du combat. L’autre moitié consiste à s’assurer que votre entreprise n’est pas une cible facile.

Décrochez votre téléphone

Si un e-mail vous demande de transférer de l’argent ou de mettre à jour des informations de paiement, n’y répondez pas. Appelez directement la personne en utilisant un numéro que vous avez déjà, pas celui figurant dans l’e-mail. Cela prend trente secondes, et c’est la chose la plus efficace que vous puissiez faire.

Activez l’authentification à deux facteurs

Si un attaquant met la main sur les identifiants de connexion de quelqu’un, la 2FA peut empêcher une prise de contrôle complète de la boîte de réception. Cela n’arrêtera pas tout, mais cela rend la compromission de compte nettement plus difficile.

Apprenez à votre équipe à reconnaître ce qui est normal

Une formation régulière sur ce qu’est le BEC, son fonctionnement et les signaux d’alerte peut transformer vos employés en ligne de défense.

Laissez vos outils faire une partie du travail

Les filtres anti-spam et les outils d’authentification de domaine comme SPF, DKIM, and DMARC peuvent filtrer les tentatives de BEC avant qu’elles n’atteignent votre équipe. La détection basée sur l’IA va encore plus loin. Elle apprend à quoi ressemble un comportement normal des e-mails au sein de votre organisation et signale tout ce qui paraît suspect.

Questions fréquemment posées

La compromission des e-mails professionnels, c’est lorsqu’un criminel se fait passer par e-mail pour quelqu’un en qui vous avez confiance afin de vous pousser à envoyer de l’argent ou à partager des informations sensibles. Les attaquants envoient un e-mail convaincant qui reproduit le ton des e-mails de l’entreprise et provient même d’une adresse e-mail de l’entreprise.

Ils sont liés, mais ce n’est pas la même chose. Le phishing jette un large filet, en envoyant des e-mails génériques au plus grand nombre possible de personnes. Les attaques BEC sont ciblées. Les attaquants étudient une entreprise précise, une personne précise et un moment précis. Le résultat est bien plus convaincant et bien plus coûteux.

La plupart des arnaques de compromission des e-mails professionnels commencent par des recherches. Les attaquants étudient la structure et la communication d’une entreprise. Une fois qu’ils en savent assez, ils usurpent soit une adresse e-mail de confiance, soit prennent le contrôle d’une vraie.

La fraude au PDG. Un attaquant se fait passer pour un dirigeant senior et fait pression sur quelqu’un du service financier pour transférer rapidement de l’argent. Cela fonctionne parce que la plupart des gens ne remettent pas en question une demande urgente venant du patron.

Oui. La protection contre la compromission des e-mails professionnels commence par les personnes. Formez votre équipe à repérer les signaux d’alerte, à vérifier les demandes de paiement par téléphone et à utiliser des outils comme la 2FA et DMARC pour rendre votre messagerie plus difficile à compromettre. Aucune mesure n’est infaillible à elle seule, mais la bonne combinaison fait de vous une cible bien plus difficile.


Articles suggérés

Partagez vos pensées

Plus de 10 caractères requis.
Votre identité pour l'affichage public.
Fournir votre adresse e-mail est facultatif. Elle ne sera pas partagée avec des tiers.

Aidez-nous à améliorer notre blog

Partagez vos pensées dans une enquête rapide de deux minutes.

Une adresse e-mail valide est requise