Comment une simple réglage mail a permis à un attaquant de détourner 1 500 €

Les cyberattaques ne commencent pas toujours par un virus ou un logiciel malveillant complexe. Parfois, il suffit d’un simple accès à une boîte mail pour provoquer des dégâts financiers considérables. C’est exactement ce qui est arrivé à l’un de nos clients, un fabricant de matériel, qui a vu 1 500 € s’envoler… sans s’en rendre compte immédiatement.

Le contexte

L’entreprise entretenait une relation de confiance avec l’un de ses fournisseurs habituels. Un jour, ce fournisseur les contacte pour réclamer le paiement d’une facture, d’un montant relativement modeste : 1 500 €. Surprise : selon les équipes financières, le paiement avait déjà été réalisé. Pourtant, le fournisseur affirme n’avoir rien reçu. Le flou s’installe. S’agit-il d’un double paiement ? D’un retard bancaire ? Ou de quelque chose de plus sérieux ?

Après une semaine d’échanges internes infructueux, le client nous sollicite pour analyser la situation et identifier l’origine du problème.

l’enquête technique

En examinant les logs et les paramètres de messagerie, nous découvrons rapidement une anomalie : une règle de redirection automatique avait été ajoutée à une boîte mail interne. Cette règle copiait et transférait vers une adresse externe tous les emails contenant les mots “facture” ou “paiement”.

Ce type de manipulation est typique des attaques de fraude au RIB (ou “BEC” – Business Email Compromise). Une fois en possession de la boîte mail, l’attaquant n’a pas besoin de forcer quoi que ce soit : il observe les échanges, intercepte les discussions liées aux paiements et, au moment opportun, envoie un nouveau RIB frauduleux qui ressemble parfaitement à celui du fournisseur légitime.

C’est exactement ce qui s’est passé ici : le virement a été effectué… vers le compte contrôlé par l’attaquant.

Un scénario fréquent, mais redoutable

La fraude au RIB est aujourd’hui l’une des attaques les plus courantes et les plus efficaces, notamment dans les PME. Elle ne nécessite aucune faille technique spectaculaire : un mot de passe réutilisé ou une authentification faible suffisent à donner à l’attaquant les clés d’un compte mail. Et contrairement aux ransomwares, cette fraude passe souvent inaperçue jusqu’au moment où l’argent a déjà quitté le compte.

Dans notre cas, le montant était “seulement” de 1 500 €, mais nous avons déjà observé des scénarios similaires impliquant des dizaines voire des centaines de milliers d’euros.

Les mesures mises en place

Le SOC de Cyna est intervenue immédiatement pour :

• Supprimer l’accès malveillant et réinitialiser les comptes compromis.

• Auditer les règles et autorisations des boîtes mail concernées.

• Mettre en place une authentification multifacteur stricte.

• Renforcer la détection des comportements suspects via notre SOC (Security Operations Center).

Désormais, grâce à la surveillance en temps réel et aux alertes proactives, ce type de fraude est détecté avant même que le paiement ne parte, réduisant drastiquement les risques.

Les enseignements à retenir

• Protégez les boîtes mail avec une authentification forte.

• Surveillez régulièrement les règles de messagerie : elles sont souvent exploitées en silence.

• Formez vos équipes comptables et financières à détecter les signes d’un faux RIB.

• Centralisez la surveillance avec une solution SOC capable d’alerter rapidement en cas de comportement suspect.

Conclusion

Cette attaque aurait pu avoir des conséquences bien plus graves. Elle illustre parfaitement l’importance d’une approche proactive de la sécurité. La messagerie reste la porte d’entrée privilégiée des cybercriminels — mais avec les bons outils et les bonnes pratiques, il est possible de les arrêter à temps.