Le problème à 55,5 milliards de dollars dont personne ne parle

La compromission d'e-mails professionnels — ou BEC — est la cybercriminalité la plus coûteuse au monde. Selon l'Internet Crime Complaint Center du FBI, le BEC a causé 55,5 milliards de dollars de pertes cumulées dans le monde, dont 2,77 milliards de dollars volés rien qu'en 2024. Pourtant, la plupart des entreprises n'en ont jamais entendu parler, et encore moins ont mis en place des défenses.

Le BEC fonctionne parce qu'il exploite la confiance, pas la technologie. Un attaquant se fait passer pour un PDG, un fournisseur ou un collègue et convainc quelqu'un de virer de l'argent, de partager des identifiants ou de modifier des détails de paiement. Les e-mails semblent vrais. Les appels téléphoniques sonnent vrai. Et désormais, avec le clonage vocal et vidéo deepfake, ils peuvent littéralement être vrais — du moins pour la perception humaine.

2,77 Md$
perdus à cause de la compromission d'e-mails professionnels rien qu'en 2024 (FBI IC3)

Le deepfake d'Arup : 25 millions de dollars disparus en un seul appel vidéo

En février 2024, un employé des finances du cabinet d'ingénierie Arup à Hong Kong a rejoint une visioconférence avec ce qui semblait être le directeur financier de l'entreprise et plusieurs collègues. Chaque visage lors de l'appel était un deepfake. Les participants générés par IA ont donné des instructions pour transférer 25 millions de dollars répartis sur cinq transactions. L'employé s'est exécuté. Au moment où la fraude a été découverte, l'argent avait disparu dans de multiples comptes bancaires.

Il ne s'agissait pas d'une attaque sophistiquée d'un État-nation. C'était un réseau criminel utilisant des outils deepfake disponibles dans le commerce. L'attaque a réussi parce que l'employé pouvait voir et entendre des personnes qui ressemblaient et parlaient exactement comme ses collègues. La vérification visuelle et auditive — le fondement de la confiance humaine — avait été entièrement compromise.

« Nous constatons que la vidéo et la voix deepfake sont de plus en plus utilisées dans la fraude BEC. Ce qui nécessitait autrefois l'usurpation d'une adresse e-mail implique désormais l'usurpation d'une personne entière. » — Division Cyber du FBI, 2024

MGM Resorts : un seul appel, 100 millions de dollars de dégâts

En septembre 2023, le groupe de pirates Scattered Spider a appelé le service d'assistance informatique de MGM Resorts en se faisant passer pour un employé. L'appel a duré environ 10 minutes. Utilisant des informations récoltées sur LinkedIn, l'appelant a convaincu le technicien de réinitialiser les identifiants de l'employé. Ce seul appel a donné aux attaquants accès à l'ensemble du réseau de MGM.

Résultat : les machines à sous se sont éteintes dans tout Las Vegas, les cartes-clés d'hôtel ont cessé de fonctionner, et les opérations de MGM ont été paralyser pendant 10 jours. Le coût estimé a dépassé 100 millions de dollars. Tout cela parce qu'un employé du service informatique n'a pas pu vérifier qui était réellement à l'autre bout du fil.

Les attaques par vishing — hameçonnage vocal — ont bondi de 442 % au cours de l'année écoulée, selon la société de sécurité Hoxhunt. Les services d'assistance informatique sont la cible n°1 car ils détiennent les clés du royaume : réinitialisations de mots de passe, enrôlements MFA et accès aux comptes.

Pourquoi la sécurité traditionnelle échoue ici

Les entreprises dépensent des milliards en pare-feu, détection de terminaux et authentification multifacteur. Mais rien de tout cela ne protège contre un collaborateur de confiance manipulé par ingénierie sociale au téléphone. La MFA n'aide pas quand l'attaquant convainc le service informatique de la réinitialiser. Les filtres e-mail n'interceptent pas un appel téléphonique. La sécurité des terminaux n'empêche pas un humain d'autoriser un virement.

  • Authentification multifacteur — les attaquants manipulent le service informatique pour la réinitialiser
  • Filtres de sécurité e-mail — sans objet quand l'attaque passe par le téléphone ou la vidéo
  • Identifiant d'appel — trivialement usurpable pour afficher n'importe quel numéro
  • Vérification visuelle en appel vidéo — déjouée par les deepfakes en temps réel
  • Formation de sensibilisation à la sécurité — enseigne à repérer les e-mails d'hameçonnage, pas l'usurpation vocale en direct

La couche manquante : la vérification verbale

Un mot de passe est quelque chose qu'un deepfake ne peut pas reproduire car il ne dérive d'aucune information publique. C'est un secret partagé — une information qui n'existe que dans l'esprit des personnes qui l'ont convenu en personne. Aucune quantité de récolte LinkedIn, de clonage vocal ou de vidéo deepfake ne peut le produire.

La publication spéciale 800-63B du NIST — les directives du gouvernement américain sur l'identité numérique — approuve explicitement l'authentification hors bande par voie vocale via le réseau téléphonique commuté (RTC). Le principe est solide : vérifier l'identité par un canal séparé en utilisant une connaissance partagée que l'attaquant ne peut pas intercepter.

Comment mettre en place des mots de passe en entreprise

  • Établir un mot de passe d'équipe partagé en personne lors d'une réunion plénière — jamais par e-mail ou messagerie
  • Créer une politique : toute transaction financière au-dessus d'un seuil (ex. : 5 000 €) nécessite une confirmation verbale avec le mot de passe
  • Le service informatique doit vérifier le mot de passe du département avant de réinitialiser des mots de passe ou la MFA
  • Changer le mot de passe trimestriellement — annoncer le nouveau lors de la prochaine réunion en personne
  • Paiements fournisseurs : établir des mots de passe avec les fournisseurs clés pour les demandes de modification de paiement
  • Communications de la direction : si le PDG appelle avec une demande urgente, le mot de passe doit être fourni avant toute action

L'usurpation d'identité de fournisseurs : le vecteur BEC à la croissance la plus rapide

Selon Abnormal AI, 60 % des attaques BEC modernes impliquent désormais l'usurpation d'identité de fournisseurs plutôt que de dirigeants. Un attaquant compromet l'e-mail d'un fournisseur, surveille les schémas de facturation, puis envoie un message convaincant : « Notre compte bancaire a changé. Veuillez mettre à jour vos dossiers et envoyer le prochain paiement sur ce nouveau compte. »

Un mot de passe partagé entre votre équipe de comptabilité fournisseurs et chaque fournisseur critique stopperait net cette attaque. Avant tout changement de coordonnées de paiement, le fournisseur doit fournir le mot de vérification — par téléphone, à un contact connu, sur un numéro connu.

Le télétravail a aggravé la situation

Quand les équipes travaillaient au même endroit, on pouvait aller au bureau de quelqu'un et confirmer une demande en face à face. Le télétravail et le travail hybride ont supprimé cette option. Désormais, toute vérification se fait par des canaux numériques — précisément les canaux que les deepfakes peuvent compromettre. Les mots de passe restaurent la couche de confiance en personne dans les interactions à distance.

Commencez dès aujourd'hui : utilisez le Constructeur de protocole de Safewords.io pour créer un protocole de vérification en entreprise. Choisissez « Entreprise » comme type de groupe, ajoutez les membres de votre équipe, et définissez quand le mot de passe doit être exigé. Imprimez la carte de sécurité et distribuez-la lors de votre prochaine réunion d'équipe.