Arnaque au président : la menace silencieuse

L’Internet Crime Complaint Center (IC3) du FBI vient de publier son rapport annuel pour 2022. Celui-ci fait état de 2 385 plaintes pour cyberattaque avec ransomware l’an passé, aux États-Unis. En France, les chiffres comparés de Cybermalveillance.gouv.fr et du parquet de Paris suggèrent qu’environ 25 % des victimes portent plainte. Appliqué outre-Atlantique, un tel ratio suggère qu’il faut compter en réalité avec de l’ordre de 9 540 cyberattaques avec rançongiciel aux États-Unis l’an dernier. 

Les pertes associées à ces cyberattaques se montent à plus de 34,3 millions de dollars en 2022, selon le FBI. Ce chiffre n’inclut toutefois pas « les pertes d’activité, de temps, de salaires, de fichiers ou d’équipement », ni même les coûts des services de remédiation. En outre, dans certains cas, les pertes et/ou rançons payées n’ont pas été précisées au FBI. 

Mais ce n’est rien par rapport au poids des compromissions d’e-mail professionnel (BEC, Business Email Compromise), ou en français, « arnaque au président », voire « arnaque FOVI », pour Faux Ordre de Virement International. L’IC3 fait là état de 21 832 plaintes en 2022, pour des pertes de plus de 2,7 milliards de dollars. Et comme Microsoft l’a récemment illustré, les attaques de ce type peuvent être conduites très vite.

En France, le phénomène apparemment moins développé. À moins que la visibilité dessus ne soit encore moins bonne que pour les cyberattaques avec rançongiciel. 

Mi-février, le parquet de Paris annonçait que 8 personnes avaient été interpellées entre juin 2022 et janvier 2023 en lien avec des arnaques au président : plus de 40 virements avaient été obtenus pour un total de 38 millions d’euros. 

Mais les sollicitations auprès cybermalveillance.gouv.fr sont peu nombreuses : en 2022, il n’y a ainsi eu que 531 parcours complets de demande d’assistance pour les arnaques FOVI, de la part d’entreprises et associations. Pour les recherches d’assistance, cette menace s’est inscrite en 5^e place à 6 % du total. 

Mais il y a un autre chiffre qui est peut-être plus révélateur : l’article de cybermalveillance.gouv.fr sur le sujet, publié fin janvier 2021, a été consulté 41 000 fois en 2022, soit 37 % de plus qu’en 2021. 

Cet article décrit les démarches à engager avec deux interlocuteurs principaux : sa banque et les forces de l’ordre (police ou gendarmerie). Il apparaît dès lors envisageable que les victimes consultant cet article se tournent immédiatement vers ces interlocuteurs sans aller chercher plus d’assistance auprès d’experts cyber. Ce qui contribuerait à expliquer le faible nombre de demandes d’assistances finalisées sur cybermalveillance.gouv.fr.