Plusieurs cas de cyberfraudes financières signalés au Maroc

Depuis le mercredi 17 février, plusieurs entrepreneurs marocains ont été victimes de hackers qui ont imité leur email pour faire effectuer par leur comptable des ordres de virement indus et frauduleux.

Alertée par un patron de PME témoignant sous couvert d’anonymat, notre rédaction présente ensuite les conseils avisés de prévention d’un cyber-criminologue et l’avis d’un grand banquier de la place.

En une semaine, une seule escroquerie a été déjouée sur trois

"Vendredi à 9h45, ma responsable financière a reçu une demande de ma part d’effectuer d’extrême urgence un ordre de virement s’appuyant sur une cause probable. Le contenu du mail disait: Veuillez virer 120.000 dollars à tel compte bancaire à Baltimore (USA), pour financer un charter privé d’un de nos clients VIP. La justification tenait la route, car nous finançons les voyages de personnalités dont nous ne révélons les noms à la douane et au pilote qu’à la dernière minute. Dans ces cas de figure, nous ne le crions pas sur les toits et n’établissons pas 20 bons de commande.

"Heureusement que notre procédure de virement Swift implique une double validation, c'est-à-dire une signature physique de ma part et de celle de notre responsable financier.

"J’ai découvert à 18 heures la supercherie quand la DAF m’a envoyé les éléments de transfert financier pour approbation.

"Le lundi suivant, j’ai contacté ma banque pour la prévenir et bloquer l’affaire. Mon conseiller m’a appris qu’un entrepreneur venait de se faire plumer de 300.000 DH de la même manière.

"J'ai contacté mon avocat en vue de saisir la justice. Ce dernier me révèle qu’un de ses clients s’était fait escroquer de 138.000 dollars (1,35 MDH) le week-end précédent. Les arnaqueurs ont intercepté un de ses ordres de virement vers sa banque et n’ont eu qu’à changer le numéro de compte du destinataire avant d’encaisser physiquement la somme dès sa réception".

Ce cas de figure voisin de l’arnaque au président est appelé par les spécialistes «arnaque au relevé d’identité bancaire (RIB)».

D’après une autre source, le Maroc est un nouvel eldorado pour ces escrocs, car les entrepreneurs rechignent à avouer qu’ils ont été arnaqués au même titre qu’ils cachent leurs redressements fiscaux. Toutes les victimes ne portent pas plainte. On peut penser que ces fraudes sont plus nombreuses qu'on ne le croit, puisque Médias 24 en a identifié trois en quelques jours.

Apparues en Europe en 2010, ces escroqueries touchent désormais les PME et les TPE marocaines, qui se retrouvent dépourvues devant ce phénomène, car elles ne savent même pas à quel service de police s’adresser (BCIJ, BNPJ, brigade financière…).

Que faire face à ce nouveau type de fraude?

Médias 24 a interrogé Frédéric Goux, du cabinet Solucom, expert en cybercriminalité et système d’informations, pour savoir quelles sont les règles de sécurité à adopter pour éviter ces arnaques.

"La fraude au président consiste à faire virer des fonds en urgence par des collaborateurs habilités en se faisant passer pour le PDG de l’entreprise. Ce phénomène qui s’est développé ces 2 dernières années touche surtout les PME, mais aussi certaines grandes entreprises. La faille s’appuie sur leur processus de contrôle défaillant et sur la capacité des escrocs à faire du "social engineering" pour entrer dans l’intimité des dirigeants d’entreprises par les réseaux sociaux. Grâce à Facebook, on peut voir qui sont les proches du président et quand il est en vacances, pour profiter de son absence".

Selon notre interlocuteur, la technique la plus répandue est l’envoi d’un mail demandant à son subordonné d’effectuer de manière urgente un virement puis de l’appeler en se faisant passer pour le président. La seconde fraude concerne l’envoi par des soi-disant fournisseurs au service comptabilité des entreprises des nouveaux relevés d’identité bancaires. Les clients mettent à jour leur fichier bancaire et envoient à leur banque les nouvelles coordonnées pour payer les factures de leurs fournisseurs.

«La plupart du temps, dans les deux cas de fraude, le virement s’effectue vers un paradis fiscal ou dans un pays où on récupère rapidement l’argent en cash. Pour les gros montants, les escrocs procèdent à des virements en cascade vers d’autres comptes, pour effacer toute traçabilité des fonds détournés. Il peut s’écouler un mois avant que les process de contrôle s’en rendent compte. Le problème de départ est que les web mails des entreprises ne sont pas du tout sécurisé et comportent des mots de passe très simples pour les hackers. Ils peuvent donc pirater les mails des dirigeants pour récolter de l’information et ordonner un virement ou trafiquer un RIB. Les escrocs peuvent aussi simuler l’envoi d’un mail d’un dirigeant alors que ce n’est pas son adresse».

Frédéric Goux affirme que les cybercriminels sont souvent liés à des mafias africaines (Zaïre, Nigéria) mais aussi slaves (Russie, Roumanie …). Pour se prémunir, notre expert avance qu’il faut sécuriser les processus de contrôle interne de la société pour l’envoi de virements.

«En gros, il ne faut pas que la personne qui ordonne un virement soit la même que celle qui l’effectue physiquement. Le processus de validation doit être double, surtout dans les procédures d’urgence. Si vous recevez un mail du président suivi d’un appel téléphonique, l’exécutant doit le rappeler pour qu’il lui confirme l’ordre de virement, surtout pour les gros montants à virer. On ne peut plus faire confiance à un simple mail et à un appel téléphonique qui peut être usurpé».

Après la découverte de la supercherie, les victimes doivent contacter leur banque pour essayer de bloquer le virement et récupérer l’argent, porter plainte auprès de la police pour escroquerie et faire appel à un cabinet d’audit pour mettre en œuvre des process structurés de contrôle.

Selon un grand banquier marocain, l’auteur du virement est seul comptable de son erreur d’appréciation et la responsabilité des banques ayant effectué le transfert ne saurait être mise en cause. «La seule action possible pour la banque est d’essayer de retracer ou de récupérer l’argent s’il n’a pas encore été retiré, mais aucune assurance marocaine ne couvre ce type de fraude».