Escroquerie aux faux ordres de virement : rappels et mises en garde

Les escroqueries aux faux ordres de virement (FOVI) font généralement suite au piratage de messageries électroniques, afin de demander la modification des coordonnées bancaires du véritable créancier dont le paiement est ainsi détourné.

Quelles sont les modalités de la fraude et quel comportement adopter afin de maîtriser ce risque financier ?

Modes opératoires des escroqueries aux faux ordres de virement

Les escroqueries aux faux ordres de virement visent à pousser un salarié ou un agent public à effectuer un virement bancaire, par usurpation d'identité du véritable créancier ou d'un autre acteur habilité à intervenir dans la chaîne du règlement.

Ce type de manœuvre frauduleuse est identifié depuis 2010 et constitue une réalité pour l'ensemble des acteurs économiques, tant privés que publics.

Pour le secteur public (État, collectivités locales et établissements publics), les FOVI sont en forte recrudescence depuis la crise sanitaire. Les victimes sont très majoritairement des communes.

Les escrocs recourent principalement à trois techniques :

1. L'escroquerie au changement de coordonnées bancaires

L’escroc peut se faire passer pour un fournisseur, un pensionné, un agent public souhaitant modifier ses coordonnées bancaires ou mettre en place un affacturage. Il s’agit de la fraude la plus commune dans le secteur public.

2. La fraude au président

L'escroc usurpe l'identité du président, du DAF ou d'un ordonnateur, et demande à un collaborateur d'effectuer un virement de toute urgence à un tiers, au prétexte d'un dossier sensible et confidentiel.

3. L'escroquerie à l'informatique

L’escroc peut se faire passer pour un responsable informatique, ou pour l’éditeur du logiciel de comptabilité utilisé, pour prendre le contrôle du poste informatique d'un agent en charge de la comptabilité.

Les signes qui doivent alerter

Transmission de factures par messagerie électronique ou par courrier

Ces factures peuvent avoir été falsifiées.

Depuis le 1er janvier 2020, toutes les entreprises sont tenues de transmettre leurs factures à destination de la sphère publique via le portail Chorus Pro. Sur cette plateforme, les fournisseurs accèdent au suivi du traitement des factures et notamment à leur date de paiement.

Demandes de changement de coordonnées bancaires ou d’affacturage

Le risque de fraude est particulièrement élevé lorsque le changement de coordonnées bancaires intervient au profit d'un compte de néobanque (ou "banque mobile") ou d'un compte étranger, et lorsqu'il concerne :

  • une PME/TPE dont le compte bancaire initial était domicilié dans une banque traditionnelle ;
  • un nouveau compte bancaire dans un pays autre que celui où se trouve le bénéficiaire supposé du paiement.

Courriels d'interlocuteurs utilisant des adresses électroniques suspectes

Les adresses électroniques suspectes sont du type contact.noreplyXXX@gmail.com, ou contiennent des noms de domaine de type @mail.com, @protonmail.com, @servicecomptabilite.net, @financier.com.

Demande de confirmation d'un virement ou d'une date de paiement

Cette demande accompagne une demande de changement de coordonnées bancaires ou est ultérieure à la demande de changement de coordonnées bancaires. Une telle demande laisse supposer que le demandeur n'a pas accès à Chorus Pro.

Des fautes d'orthographe, un logo ou une adresse de messagerie légèrement modifiés, un préfixe téléphonique inhabituel, etc.

Un contrat d'adhésion joint à une facture portant une mention d'affacturage

Les escrocs peuvent également se présenter en tant qu’organisme financier bénéficiaire d’un affacturage (affactureur ou factor).

Comment se prémunir contre les FOVI ?

  • prendre en compte uniquement les factures et demandes de paiement transmises par Chorus Pro ;
  • indiquer les coordonnées bancaires de paiement des créanciers sur tout document contractuel ;
  • demander les coordonnées bancaires lors du dépôt des demandes de subventions et les indiquer dans la décision attributive de subvention ;
  • être particulièrement attentif aux adresses des messages électroniques demandant un changement de coordonnées bancaires ;
  • effectuer un contre-appel au fournisseur à partir de coordonnées fiabilisées (internet ou pages jaunes) ;
  • lors des demandes de changement de coordonnées bancaires ou d’affacturage, consulter :
    • le site IBANCALCULATOR (https://www.ibancalculator.com/) et rechercher la banque associée à l’IBAN bénéficiaire du paiement. Si la banque est différente de celle indiquée sur le RIB, il existe un risque de falsification ;
    • le site REGAFI (le registre des agents financiers de la Banque de France) dans le cadre d’un affacturage, pour s'assurer que l'organisme dispose bien d'un agrément de la Banque de France ;
  • ne pas divulguer, à l’extérieur ou à un contact inconnu, des informations sur le fonctionnement de l’administration et sur ses fournisseurs (organigramme, contacts, documents comportant la signature d’acteurs-clés, procédures internes, etc.) ;
  • accroître la vigilance pendant les périodes de congés et de forte charge de travail ;
  • être vigilant concernant les demandes de modification de coordonnées bancaires vers des néobanques, et notamment en présence des données suivantes :
    • compte Nickel "FINANCIERE DES PAIEMENTS ELECTRONIQUES / code banque 16598 / code BIC FPELFR21
    • compte QONTO "OLINDA SAS" - code banque 16958 - code BIC QNTOFRP1
    • compte PREPAID / PAYTRIP - GLOBEX "PFS CARD SERVICES" - code banque 21833 / code BIC PRNSFRP1
    • compte MA FRENCH BANK "LA BANQUE POSTALE" - code banque 16908 - code BIC LBDIFRP1
    • compte ANYTIME "PPS ET SA" - "ORANGE BANK" - code banque 16908 code BIC PSSSFR22

      Attention, le nom de la banque pouvant avoir été falsifié sur le RIB (mention d’une banque traditionnelle à la place de la néobanque), il convient de se fier plutôt au code BIC ou au code Banque pour identifier les néobanques.

      Cette vigilance ne doit en aucun cas aboutir à un blocage systématique des mandatements ou paiements vers ce type de comptes au risque d’être en non conformité avec la réglementation européenne, mais à un contrôle plus approfondi afin de s’assurer que les coordonnées bancaires appartiennent bien au véritable créancier.

  • renforcer la sensibilisation aux FOVI de l’ensemble des acteurs de la dépense, et notamment au sein des petites collectivités. S’assurer que chacun d’entre eux ait conscience des risques et connaisse les moyens de s’en prémunir ;
  • adopter les réflexes sur Chorus Pro pour les fournisseurs :
    • indiquer les coordonnées bancaires de paiement sur la facture ou renseigner le champs "références bancaires" sur son compte Chorus pro ;
    • déposer les nouveaux RIB en pièce jointe complémentaire d’une facture sur Chorus Pro ;
  • adopter les réflexes sur Chorus Pro pour les ordonnateurs :
    • communiquer aux fournisseurs les réflexes listés ci-dessus ;
    • prendre en compte uniquement les factures transmises par Chorus Pro afin de limiter le risque de falsification très présent lors des envois par messagerie ou par voie papier ;
    • en cas de réception d’une nouvelle coordonnée bancaire par courriel, ne pas l’intégrer dans la base tiers en l’état et rappeler au fournisseur les réflexes Chorus Pro attendus ;
    • tenir compte uniquement des coordonnées bancaires ayant transitées par Chorus Pro (mention sur la facture PDF, saisie dans le champs "références bancaires du fournisseur" ou RIB en pièce jointe d’une facture déposé sur Chorus) ;
    • utilisation de la fonction "suspension de la facture" afin de demander au fournisseur d'ajouter le RIB sur Chorus Pro dans l'intérêt de limiter le risque de fraude ;
  • accroître la vigilance sur le risque de piratage des boîtes de messagerie :
    • changer de mot de passe de connexion en cas de doute et régulièrement ;
    • s’assurer de l’absence de paramétrages de transfert de message vers des adresses tierces ;
    • ne jamais cliquer sur des liens ou prendre contact à partir de messages suspects ;
    • ne jamais communiquer d’informations d’authentification de messagerie (y compris au fournisseur d’accès).

Il est important de signaler immédiatement tous les cas de fraude de type FOVI, y compris les tentatives n'ayant pas donné lieu à un paiement.

Dans le cas d'une escroquerie avérée, c'est-à-dire si des sommes ont été payées sur un compte frauduleux, il convient de :

  • prévenir immédiatement le comptable afin qu’en cas de paiement, il engage le plus rapidement possible les procédures bancaires de récupération des fonds. Si le paiement n’est pas encore intervenu, le comptable rejette la dépense afin de bloquer sa mise en paiement ;
  • transmettre au comptable dans les meilleurs délais, les pièces liées à l’escroquerie (échanges de courriels avec l’escroc demandant le changement de RIB, etc.). Le comptable fera parvenir l’ensemble de ces pièces à l’administration centrale, afin de demander le blocage du compte bancaire dans certaines applications métiers de la DGFiP ;
  • invalider les coordonnées bancaires frauduleuses dans la base tiers du logiciel financier ;
  • déposer plainte en tant que victime directe d’escroquerie (prioritairement auprès du service régional de police judiciaire, ou bien auprès d’un service de police ou de gendarmerie de proximité, ou encore par courrier recommandé avec accusé de réception adressé au procureur de la république).

Dans le cas d’une tentative d'escroquerie, c'est-à-dire si aucun paiement n'a été effectué, il convient de :

  • prévenir immédiatement le comptable et lui transmettre dans les meilleurs délais, les pièces liées à l’escroquerie (échanges de courriels avec l’escroc demandant le changement de RIB, etc.). Le comptable fera parvenir l’ensemble de ces pièces à l’administration centrale, afin de demander le blocage du compte bancaire dans certaines applications métiers de la DGFiP ;
  • invalider les coordonnées bancaires frauduleuses dans la base tiers du logiciel financier ;
  • déposer plainte en tant que victime directe d’escroquerie, prioritairement auprès du service régional de police judiciaire, ou bien auprès d’un service de police ou de gendarmerie de proximité, ou encore par courrier recommandé avec accusé de réception adressé au procureur de la république.

Les informations sont partagées avec la Banque de France.

Elles sont également partagées avec l'OCRGDF (Office central pour la répression de la grande délinquance financière) du ministère de l’Intérieur et auprès de TRACFIN, cellule de renseignement financier du ministère de l’Économie, des Finances et de la Relance pour enquête sur les auteurs des escroqueries.

Ce partage d'informations permet de croiser les signalements relatives aux comptes frauduleux, afin d'appuyer les actions judiciaires, accroître les possibilités de retour des fonds virés à l’étranger via l’appui du réseau des attachés de sécurité intérieure auprès des ambassades ou des cellules de renseignement financier étrangères.

Afin d'empêcher les nouvelles escroqueries sur les coordonnées bancaires identifiées comme frauduleuses, ces dernières sont automatiquement bloquées dans les applications métiers de la DGFIP (Chorus et Hélios).