Que faire à la réception d'un email fournisseur suspect ?

Vous venez de recevoir un email de la part d’un de vos fournisseurs et celui-ci vous paraît suspect ? Voyons ensemble les différents moyens de détecter si ce mail est légitime et comment agir dans chacun des cas.

La fraude au fournisseur est de plus en plus présente dans le paysage des escroqueries aux entreprises, on estime que 49% des sociétés ont déjà subi une tentative de fraude de ce type. Les fraudeurs s'adaptent aux moyens de défense de leurs cibles et sont de plus en plus astucieux, précis dans leurs approches et aguerris sur le plan technique. Dans ce contexte, il est facile de passer à coté d'un mail frauduleux et de le considérer comme une authentique prise de contact d'un fournisseur.

Les bases pour déjouer les pièges

Deux éléments sont clés dans la lutte contre la fraude au fournisseur :

1. Être extrêmement vigilant à chaque réception d'une facture ou d'une demande de changement de coordonnées bancaires.
2. Suivre un processus fiable pour se protéger contre les tentatives de manipulation.

Dans le cas de la fraude au fournisseur par email, trois cas de figures sont possibles :

• Une adresse email inconnue déclare être votre fournisseur et vous demande un changement de RIB.
• Une adresse email que vous connaissez vous demande un changement de RIB.
• Une adresse email que vous pensez connaître (mais bizarrement non reconnue par votre logiciel de messagerie) vous demande un changement de RIB.

Vous devez savoir à ce stade que les fraudeurs sont souvent très bien renseignés, ils peuvent par exemple avoir contacté votre fournisseur en amont et l'avoir convaincu de leur communiquer le montant et les références des factures encore impayées. Dès lors, si quelqu'un vous contacte en ayant des détails sur une ou des factures existantes, cela ne veut pas dire que c'est votre fournisseur, le fraudeur a pu obtenir cette information auprès de votre fournisseur en se faisant passer pour vous, c'est même très fréquent. Voyons comment se prémunir contre ces attaques.

Vérifier la validité de l’adresse email

La première étape pour vous protéger consiste à vérifier que l'email que vous avez reçu provient bien de votre fournisseur, nous avons créé un outil pour vous aider dans cette tâche. Pour l'utiliser, copiez-collez l'adresse mail d'où provient le message dans le champ ci dessous et cliquez sur "Vérifier".

Faites attention de ne pas recopier à la main, mais bien de copier-coller l’adresse mail telle quelle.

• Si lorsque vous cliquez sur le site web vous n'arrivez pas sur le site de votre fournisseur, c'est un indice qu'il peut s'agir d'une fraude.
• Si l'email a été créé il y a moins d'un an, c'est également un indice, surtout si votre fournisseur existe depuis une période bien plus grande.

ATTENTION : lors de l'envoi d'un email, il est possible de spécifier une adresse "reply-to", c'est à dire une adresse à laquelle sera destiné votre message de réponse. Les fraudeurs utilisent cette technique pour vous induire en erreur et vous amener à converser avec une adresse légèrement différente de celle de votre fournisseur. Voici un exemple de cette technique :

Les deux adresses mail sont quasiment identiques, ce qui peut vous tromper. Lorsque vous voyez une adresse "reply-to" différente de l'adresse d'expédition du mail, vous pouvez automatiquement considérer l'email comme suspect. Soyez très vigilant, cette technique passe sous le radard des logiciels de messagerie les plus connus, comme Gmail par exemple, alors qu'il s'agit de l'un des cas de fraudes les plus courants.

Ce n'est pas tout, saviez-vous que le protocole qui soutient l'envoi d'emails a été créé en 1960 ? Ses créateurs n'avaient alors pas prévu de mécanismes de sécurité, ce qui rend aujourd'hui encore l'envoi d'emails peu sécurisé, et permet notamment à des tiers d'envoyer des emails en votre nom, avec votre adresse mail.

Vérifier que l’email a bien été envoyé par la bonne personne

Pour lutter contre l'usurpation d'identité et s'assurer qu'un email a bien été envoyé par la personne titulaire de l'adresse associée, plusieurs protocoles ont tout de même été mis en place depuis 1960. L'une de ces sécurités s'appelle la signature DMARC.

Pour vérifier la signature DMARC d'un email, vous allez devoir mettre (un peu) les mains dans le camboui en accédant à la version brute de l'email que vous avez reçu. L'opération est très rapide.

• Sur Gmail c’est assez simple il suffit de cliquer sur “Afficher l'original”

• Sur Outlook
  

• Si vous utilisez un autre outil d'emailing, essayez de trouver "Afficher la source”, “Afficher l’original”, "Show original", "Show source" ou une autre formulation similaire.

Voila un exemple de source d'email :

Dans la source qui s’affiche, vous devez chercher "spf=pass", "dkim=pass" ou encore mieux : "dmarc=pass". Dans l'exemple ci-dessus, Gmail vous aide en affichant directement ces informations de manière lisible et structurée.

Si vous ne trouvez pas ces informations et que vous avez plutôt "spf=none" et "dkim=none", le mail le contient pas les informations élémentaires permettant de prouver son authenticité, il doit donc être considéré comme suspect.

Si vous avez des doutes, que faire ?

Si vous pensez que le site web ne correspond pas au site de votre client ou que son existence est récente

1. Cherchez dans vos échanges de mails l'adresse d'un(e) employé(e) de votre fournisseur avec lequel vous avez déjà échangé.
2. Envoyez-lui un email de vérification similaire à celui-ci :

Bonjour [Prénom],
Je viens de recevoir un email de [adresse mail suspecte] me demandant de changer l’IBAN lié à votre compte, pouvez vous confirmer que cette demande vient bien d’un de vos collaborateurs ?

Cordialement
[Votre nom]

Si vous n’avez pas réussi à vérifier la source de l’email

Dans le cas où vous ne trouvez pas les informations SPF, DKIM ou DMARC en suivant la procédure expliquée plus haut, vous pouvez très simplement valider avec votre interlocuteur que le mail est authentique ou bien que c'est une tentative de fraude.

En effet, s'il est possible d'envoyer des mails en utilisant l'adresse d'un tiers, il n'est pas possible de recevoir les mails d'un tiers de la même façon. Dès lors, vous pouvez simplement répondre au mail en question en indiquant que votre logiciel de messagerie le trouve suspicieux et le place dans vos Spams. Si votre interlocuteur vous répond, alors il est bien en mesure de recevoir vos e-mails et il a donc un véritable accès à cette adresse mail. Dans ce cas rien de plus simple, répondez simplement à l'email en disant que vous trouvez cet email suspect car votre logiciel de messagerie vous indique que c’est un SPAM. Si la personne vous répond que ce n’est pas le cas alors vous avez vérifié son identité

Conclusion

Vous êtes maintenant armé pour déjouer une très grande partie des attaques que vous recevez par email. Pour résumer, les deux choses à verifier sont :

• Le domaine de l’email est bien le domaine de votre fournisseur.
• L’email a bien été envoyé par la personne qui possède l’addresse email.

Évidemment, ces mesures ne vous protégerons pas à 100%, mais elles sont un excellent début. Pour aller plus loin et déployer une solution anti-fraude complète, n'hésitez pas à nous contacter.