SN
CEMAC
L'arrestation spectaculaire par Interpol, en 2023, de l'auteur d'une escroquerie aux faux ordres de virement impliquant plusieurs millions de dollars rappelle l'extrême vulnérabilité du monde des affaires face à la cybercriminalité contemporaine. Menée en coopération avec les participants à l'initiative Cybercrime Atlas du Forum économique mondial, cette opération a permis de neutraliser un réseau criminel transnational qui exploitait la technique des fausses factures. Au-delà de cette réussite policière, cette affaire et celles qui se sont succédé depuis lors mettent surtout en lumière une criminalité financière dont la capacité de destruction va crescendo : les redoutables attaques de type Business Email Compromise (BEC).
Qu'est-ce qu'une attaque BEC / FOVI ?
Pour bien comprendre le phénomène, il convient de définir précisément ce qu'est une attaque BEC, traduite officiellement en français par "usurpation de compte de messagerie d'entreprise" ou "escroquerie aux faux ordres de virement" (FOVI). Selon Interpol, la cyberattaque BEC/FOVI consiste pour des acteurs malveillants à accéder sans autorisation au compte de messagerie légitime d'une organisation afin d'envoyer des messages frauduleux à ses partenaires commerciaux, ses fournisseurs ou ses collaborateurs, dans le but d'en tirer un profit financier direct.
Contrairement aux courriels d'hameçonnage (ou phishing) qui reposent généralement sur des campagnes massives et automatisées visant à collecter des identifiants ou à diffuser des logiciels malveillants à grande échelle, le BEC se caractérise par une approche hautement ciblée et personnalisée. L'attaquant étudie l'organigramme de l'entreprise, analyse les relations commerciales et manipule subtilement des fils de discussion existants, tout en supprimant les e-mails importants tels que les demandes de paiement authentiques. Ainsi, l'escroquerie aux faux ordres de virement s'appuie sur une ingénierie sociale de précision, où le criminel usurpe l'identité d'un cadre dirigeant ou d'un fournisseur stratégique pour exiger un virement urgent vers un compte frauduleux.
L'ampleur du risque
Les données consolidées d'Interpol sur l'évaluation des cybermenaces en Afrique confirmaient déjà que les attaques de type BEC ont été la cybermenace la plus dévastatrice financièrement à l'échelle mondiale entre 2017 et 2022. Par exemple, en 2022, les entreprises américaines ont perdu 2,4 milliards USD à cause de ces attaques, soit une hausse de 28% par rapport à 2020.
Bien souvent connectés à des réseaux mafieux, les criminels accèdent aux serveurs de messagerie par diverses techniques, observent patiemment les habitudes financières de l'organisation et repèrent les factures en attente et les échéances importantes. Après avoir acquis ces informations, ils interceptent les messages et modifient discrètement les coordonnées bancaires sur des factures légitimes avant de les renvoyer aux destinataires. Entre avril 2022 et avril 2023, Microsoft a ainsi détecté 35 millions de tentatives d'escroquerie aux FOVI, soit environ 156 000 tentatives par jour. Par ailleurs, l'incidence financière mondiale de ces escroqueries a dépassé 50 milliards USD en 2023. Des groupes criminels, tels qu'OPERA1ER (aussi connu sous NX$M$, DESKTOP Group ou Common Raven), auraient ainsi dérobé jusqu'à 35 millions USD dans 15 pays d'Afrique, d'Asie et d'Amérique latine.
Des bases arrière en Afrique de l'Ouest
Entre 2021 et mai 2022, le continent ne concentrait que 0,75% des tentatives mondiales de BEC, mais l'Afrique du Sud enregistrait plus de la moitié des cas signalés dans la région. Parallèlement, une part significative des auteurs opère depuis des bases arrière situées en Afrique de l'Ouest, notamment au Nigeria. Toutefois, leurs cibles dépassent largement les frontières régionales, visant des entités à forte valeur ajoutée en Asie du Sud-Est, au Moyen-Orient ou en Afrique du Nord.
La gravité du problème dans la région tient à plusieurs facteurs. D'une part, la numérisation rapide des processus administratifs et financiers n'a pas toujours été accompagnée d'investissements suffisants en sécurité informatique, créant ainsi des opportunités pour les cybercriminels. D'autre part, de nombreuses entreprises souffrent d'un manque de mesures de cybersécurité et de politiques de protection des données : contrôles d'accès faibles, authentification insuffisante et chiffrement négligé exposent serveurs et messageries à l'intrusion.
Secteurs visés
En 2023, le secteur financier a été le plus fréquemment touché dans les pays africains, mais aucun secteur n'est épargné. Outre les banques et les institutions de microfinance, des attaques ont ciblé l'import‑export, le pétrole et le gaz, les produits pharmaceutiques, le transport et le commerce électronique. Les organismes publics, les ONG et les particuliers ont également fait l'objet d'incidents croissants. Les conséquences financières et réputationnelles sont souvent dramatiques : perte directe de liquidités, perturbation des opérations et érosion de la confiance des partenaires commerciaux et des clients.
Techniques d'évasion
Interpol précise que ces cybercriminels utilisent des méthodes complexes pour échapper aux enquêtes : comptes de messagerie éphémères, transferts de fonds via des comptes internationaux ouverts sous de fausses identités ou par des sociétés écrans, communications chiffrées et coordination sur le dark web. Ces procédés fragmentent les preuves et compliquent le travail des enquêteurs répartis dans plusieurs juridictions. De plus, un réseau étendu de mules financières facilite le blanchiment des fonds et protège temporairement les auteurs de toute poursuite.
Signaux d'alerte
Pour protéger leur trésorerie, les entreprises ivoiriennes et ouest‑africaines doivent apprendre à reconnaître les principaux signaux d'alerte du BEC/FOVI. Il faut notamment se méfier d'un changement soudain et non sollicité des coordonnées bancaires d'un fournisseur annoncé par e-mail, d'un message qui instille un sentiment d'urgence, de secret ou de panique et qui demande de contourner les procédures habituelles, d'adresses mail légèrement modifiées (typosquatting) par rapport à l'adresse officielle du correspondant, ainsi que de demandes de validation de paiement effectuées en dehors des canaux habituels, par exemple via une messagerie instantanée non professionnelle.
Anselme Akéko
Publié le 16/06/26 13:30
La Rédaction
