Fraude au RIB des notaires : comment l’éviter ?

L’actualité témoigne de tentatives répétées d’escroquerie par phishing [1] et autres usurpations d’identité bancaire, permettant à des cybercriminels de recevoir les virements bancaires en lieu et place des offices notariaux. Voici quelques bonnes pratiques pour lutter contre ce type de fraude [2].

Toute somme d’un montant supérieur à 3 000 euros transitant entre un notaire et son client doit faire l’objet d’un virement bancaire [3]. Une aubaine pour les auteurs d’actes de cybermalveillance, qui ne se privent pas de détourner les fonds, pour le plus grand malheur des notaires et de leurs clients bien sûr.

Fraude au RIB - faux ordres de virement (FOVI) : de quoi s’agit-il ?

Comme l’explique Cybermalveillance.gouv.fr, l’escroquerie aux faux ordres de virement (FOVI) est un type d’arnaque « qui, par persuasion, menaces ou pressions diverses, vise à amener la victime à réaliser un virement de fonds non planifié. (…)
Une variante consiste à usurper l’identité d’un fournisseur pour communiquer de nouvelles coordonnées bancaires (changement de RIB) sur lesquelles il faut effectuer un règlement. (…)
Le compte bancaire appartenant à l’escroc est souvent situé à l’étranger. Cette catégorie d’escroquerie est généralement réalisée par téléphone et/ou par messages électroniques, voire les deux, et concerne tous les types d’organisation
 ».

Les notaires n’y échappent malheureusement pas. Cela se passe le plus souvent par e-mail, avec la transmission de coordonnées bancaires différentes de celles de l’office.

Face à la recrudescence de ces arnaques aux FOVI constatée dernièrement dans le monde notarial, les études doivent se prémunir. Elles ont aussi un rôle à jouer dans l’atténuation de l’exposition de leur clientèle à ce type de malveillance, qui peut engendrer de très lourdes pertes financières. Que faut-il faire ? Comment faire ? Ne pas faire ? Il est possible d’agir concomitamment sur deux plans.

Il est aussi bien entendu possible de se faire remettre le RIB en main propre à l’office notarial. Pas de risque numérique en pareil cas, mais cela ne résout pas le problème des transmissions numériques, très largement utilisées. Il importe donc de développer une culture de prévention dans les offices et après des clients. En plus de la sensibilisation aux risques cyber, des solutions plus techniques peuvent être envisagées.

1er levier : sécuriser l’échange des coordonnées bancaires

L’idéal, pour éviter ce type de fraude, serait de commencer par ne pas (plus) transmettre le RIB de l’étude en pièce jointe d’un e-mail. Or tel est pourtant une pratique très largement répandue, par la simplicité qu’elle représente côté étude, comme côté client. Mais cette facilité peut coûter cher et il est donc temps de faire autrement !

Mauvaise idée : mettre le RIB sur le site internet de l’étude

L’une des manières apparemment simples de sécuriser les échanges pourrait être, comme on a pu l’entendre ou le lire, de mettre le relevé d’identité bancaire de l’étude sur son site internet et d’inviter les clients à s’assurer que les coordonnées bancaires affichées sur le site et celles transmises par mail sont bien identiques.

Pratique certes, mais utopique en termes de sécurité, voire contreproductif. Ceci, d’une part, parce qu’on le sait, un site internet peut lui aussi être piraté [4].
D’autre part, comme le décrit notamment le CERT-FR [5], parce que « les escrocs vont réaliser durant plusieurs mois une démarche d’ingénierie sociale, permettant de collecter un maximum d’informations en source ouverte sur l’environnement économique et humain de l’entreprise cible. Les escrocs vont se renseigner en détail et s’imprégner de l’entreprise à partir d’internet et de moteurs de recherche en consultant [différentes données publiques]. » [6].

On évitera donc d’ "aggraver" la situation à risque, en mettant le RIB sur le site internet de l’étude... Il est plutôt recommandé de sécuriser la communication du RIB par l’utilisation de conteneurs chiffrés, des espaces et des moyens de connexion qui permettent, techniquement, que le contenu transmis ne puisse être ouvert et lu que par un destinataire choisi.

Bonne idée n° 1 : le chiffrement du RIB (et des autres documents sensibles)

Le chiffrement est une technique de cryptographie (l’écriture secrète), sous-domaine de la cryptologie (la science du secret) [7]. Comme l’indique la CNIL, le chiffrement est une sorte d’« enveloppe scellée numérique ». Plus précisément, c’est une « méthode qui consiste à protéger ses documents en les rendant illisibles par toute personne n’ayant pas accès à une clé dite de déchiffrement » [8].

Il permet d’assurer la confidentialité des échanges et des données (courriels, fichiers, disques durs, communications, RIB, etc.) et de s’assurer de l’authenticité de l’expéditeur. Seuls l’émetteur et le destinataire « légitime » peuvent accéder au contenu : une fois chiffrées, les données sont inaccessibles et illisibles, à moins de disposer d’une clé spécifique et secrète, dite « de déchiffrement » qui permet de les... déchiffrer !

Mais le chiffrement va plus loin que la simple protection par ajout mot de passe. Il consiste à traiter des données grâce à un algorithme de chiffrement, qui va les convertir dans un format « codé ». Pour que les données soient à nouveau intelligibles (lisibles en clair), il faudra effectuer l’opération inverse : le déchiffrement, qui ne peut être fait que par les personnes possédant la clé appropriée.

Cette clé de déchiffrement peut ou non être la même que celle utilisée pour le chiffrement.
Si la même clé est utilisée pour chiffrer et déchiffrer, on parle de chiffrement « symétrique » (une serrure + une clé + un double de la clé).
En cas chiffrement dit « asymétrique », deux clés indissociables sont utilisées. À partir de sa clé dite « privée », générée grâce à un logiciel ou une fonctionnalité de chiffrement, une personne crée une clé dite « publique ». Le destinataire (d’un document, d’un courriel, etc.) dispose des deux clés : une clé publique, qui sera connue par l’émetteur et qui est utilisée pour chiffrer les données et une clé privée, connue du seul destinataire, qui est utilisée par lui pour déchiffrer les données qui lui sont transmises.

Comment faire ? Les systèmes de chiffrement sont variés. Sous Windows (PC) par exemple, il suffit d’accéder aux propriétés avancées du document ou du fichier (en faisant un clic droit sur l’icône du fichier ou du dossier), de cliquer sur chiffrer le contenu et d’appliquer le chiffrement [9]. Un certificat de chiffrement sera généré automatiquement ; il conviendra de le sauvegarder, pour pouvoir continuer à accéder aux fichiers chiffrés si la clé était perdue notamment.
Un cadenas sera matérialisé sur le dossier ou le fichier ; l’accès et toute autre action (déplacer, copier, supprimer, renommer) sont refusés aux tiers. Le document chiffré peut alors être joint à un e-mail. Différents outils sur le marché permettent également de réaliser ces opérations de chiffrement, avec un coût plus ou moins élevé ; certains bénéficient d’un visa de sécurité de l’ANSSI.

Facile ou compliqué ? Chiffrer et déchiffrer un document est en soi assez simple. Mais il est vrai que l’une des principales difficultés pratiques du chiffrement est lié aux méthodes de communication de la fameuse clé de déchiffrement.
Prenons un exemple : si vous mettez la clé près de la serrure, l’intérêt de fermer la porte à clé est limité. Ici, c’est pareil : si vous écrivez la clé de déchiffrement dans le même courriel que le document chiffré, c’est inutile.
Il faut donc prévoir un mode de communication différent entre le document chiffré (par mail) et la clé (par un appel ou un SMS par exemple). Rien de très complexe, mais une action supplémentaire à réaliser de part et d’autre, qui pourrait paraître fastidieuse en dépit de la sécurité qu’elle procure.

Une seconde (petite) contrainte existe : l’importance de ne pas oublier son mot de passe de chiffrement / déchiffrement (qui ne sera pas écrit sur un bloc-notes accessible près de l’ordinateur..., conformément aux bonne pratiques d’ "hygiène numérique"). Fort heureusement, certains éditeurs de solution de chiffrement y ont pensé et proposent des solutions qui permettent aux utilisateurs d’avoir accès aux données chiffrées sans devoir conserver un mot de passe de secours (tout en étant assuré d’être les seuls à pouvoir déchiffrer les données).

Bonne idée n° 2 : utiliser un espace d’échanges sécurisés

Les espaces d’échange documentaire sécurisés apparaissent aussi comme une solution aisément employable pour limiter les risques de fraude numérique. Logiciels et plateformes collaboratifs, extranet, coffres-forts numériques ou autres systèmes de transfert sécurisé de documents, les études peuvent aujourd’hui aisément s’équiper d’espaces réservés qui peuvent être partagés avec les clients. Le tout, que l’on se rassure, sans forcément se ruiner en budget équipement. Il sera recommandé de bien vérifier que la solution proposée repose sur un réel chiffrement des données : pas de chiffrement, pas de virement ! Pour renforcer la sécurité du dispositif, il pourra aussi être demandé au client de justifier de son identité, bien qu’il soit déjà client de telle étude, à l’aide d’une adresse e-mail, d’un numéro de dossier ou autre code à usage unique.

Cela fait écho au portail d’échange et de gestion de dossiers qui existe déjà et qui été mis en place par la Chambre des notaires de Paris. Le service Espace Notarial permet en effet le transfert de pièces volumineuses via un lien de téléchargement sécurisé ; il garantit la traçabilité et la confidentialité des documents partagés, avec la possibilité d’en paramétrer les droits d’accès. Le succès d’un tel dispositif s’est vérifié puisque son utilisation a été étendue dans toute la France à l’aide d’une convention passée avec le Conseil supérieur du notariat (CSN). Il s’agirait donc de démocratiser davantage les fonctionnalités de cette plateforme pour en permettre l’usage habituel : la transmission, par ce biais, de documents élémentaires comme le RIB pourrait ainsi devenir un (bon) automatisme.

2nd levier : sensibiliser le client (et les membres de l’étude)

Le second mot d’ordre en matière de prévention des risques est la sensibilisation et, partant, la communication, du notaire vers ses clients. Il est en effet nécessaire de sensibiliser les personnes pour éveiller les consciences : les informer sur les risques et promouvoir les bonnes pratiques.

Il est en effet possible d’éviter de tomber dans le piège, qui est parfois presque immédiatement décelable si l’on fait preuve d’une attention suffisante, ne serait-ce, par exemple, d’inviter le client à faire attention à la domiciliation en France du RIB transmis, qui doit bien mentionner les lettres "FR". De même, il est prudent de bien vérifier que le RIB mentionne le nom de l’office notarial en tant que titulaire du compte.

Plus spécifiquement, la prévention du risque peut se faire par le biais de simples rappels de la vigilance nécessaire, des bons gestes d’"hygiène numérique" et de messages d’information sur les habitudes de communication de l’office.

Bonne idée n°1 : vérifier les noms de domaine

Conformément aux préconisations du Conseil Supérieur du Notariat sur les noms de domaine, les notaires doivent utiliser des adresses de messageries électroniques finissant par @notaires.fr. En matière de cybersécurité, le fait que les notaires usent tous d’une adresse e-mail professionnelle réglementée, avec ce même nom de domaine (notaires.fr) facilite donc les choses, par rapport, notamment, à d’autres professions du droit.

Il est donc important, pour l’étude notariale, de rappeler cet usage des noms de domaine auprès de la clientèle, en lui rappelant que toutes les communications sortantes de l’étude proviennent de telle adresse mail et d’aucune autre - peut-être plus farfelue - ». Une sorte de responsabilité partagée avec le client qui s’avère inéluctable, tant la vigilance doit être de mise, de part et d’autre de la transmission des informations.

Idée intéressante : ajouter une étape de vérification auprès d’un membre de l’étude

En complément, il peut être efficace, pour lutter contre la fraude, de recommander au client qu’il n’hésite pas à confirmer auprès d’un membre désigné de l’étude, que le RIB qu’il a reçu est bien celui de l’étude. Cette personne jouera ainsi le rôle d’un tiers de confiance, qui sera contacté par téléphone pour effectuer cette vérification. Toutefois, pour limiter les risques liés à l’ingénierie sociale, il conviendra de ne pas diffuser trop largement (réseaux sociaux, site internet, etc.), l’identité et les coordonnées de la personne concernée/habilité. Une diffusion restreinte de cette information sera donc préconisée.

Bonne idée n°2 : communiquer directement sur les risques

À l’instar de ce que font les banques et les assurances, les offices gagneraient également à transmettre régulièrement à leurs clients de messages de prévention. Cela peut se faire avec une communication à double détente :

  • en prévenant positivement la fraude : informer le client qu’aucun membre de l’étude ne lui demandera jamais d’informations via tel ou tel canal de communication ;
  • en prévenant négativement la fraude : rappeler au client que personne au sein de l’étude ne lui demandera jamais tel ou tel type d’informations ou de documents, jamais sous telle ou telle forme.

Voici, à titre indicatif, un exemple de message de prévention à diffuser auprès de votre clientèle :

FAUX RIB : AYEZ LES BONS RÉFLEXES !
Attention, ne vous laissez pas duper par de faux messages que vous pourriez recevoir d’escrocs qui abusent de votre confiance pour vous inciter à leur transférer de l’argent en se faisant passer pour votre notaire.
Notre seule et unique adresse e-mail
Soyez vigilants et rappelez-vous toujours que notre étude ne communique avec vous que par l’adresse e-mail suivante : [e-mail de l’étude].
Obtenez confirmation de vive voix
Avant d’effectuer tout transfert d’argent, vous pouvez contacter directement l’étude par téléphone au [N° de téléphone de l’étude] pour vous faire confirmer l’exactitude des informations bancaires de l’étude et la réalité de la demande de virement.
Ce qu’on ne vous demandera JAMAIS par e-mail :
[Listing des informations à ne pas communiquer].
Les éléments qui suivent sont les seuls qui peuvent vous être demandés par e-mail par l’étude :
[Listing des informations pouvant être demandées].
Ce qu’on ne mettra JAMAIS en pièce jointe non protégée :
[Listing des pièces jointes bannies : RIB...]
Pas de clic sur les liens suspects !
En cas de doute, ne cliquez pas sur les liens contenus dans un e-mail et passez directement par votre moteur de recherche pour accéder aux sites utiles :
[Listing des seuls sites utiles].

La balle dans le camp des institutions

Des actions sont à mener non seulement au niveau local de l’étude, mais aussi au niveau institutionnel, afin de maintenir la vigilance des notaires et de leurs clients sur les tentatives de fraude et, plus largement, sur les risques cyber.

Plusieurs actions pourraient ainsi être mise en œuvre par le Conseil Supérieur du Notariat et/ou les chambres et conseils territoriaux, parmi lesquelles :

  • La mise en place d’une veille sur les noms de domaine, afin de détecter les détournements qui peuvent en être faits, ainsi que, plus largement une veille cyber complète, orientée sur les pratiques notariales et permettant d’identifier et de prévenir sur les risques métiers ;
  • L’élaboration de kits institutionnels de communication, que les offices pourraient utiliser, à l’image des protocoles communiqués par l’ANSSI et des messages d’alerte et de sensibilisation réalisés par d’autres organismes (banques, compagnies d’assurance, etc.). La « Task force » nationale de lutte contre les arnaques en fournit un nouvel exemple avec la publication d’un nouveau Guide de prévention contre les arnaques.

L’ensemble de ces actions s’inscrivent dans une véritable stratégie de sensibilisation aux risques liés à la cybercriminalité. Côté office, côté client et côté institutions : cybersécurité, tous concernés et engagés !!

A. Dorange & Alix Germain
Rédaction du Village des Notaires

À (re)lire en complément, nos articles parus dans le Journal du Village des Notaires n° 85 :


Notes

[1Le phishing ou hameçonnage désigne une technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles et/ou bancaires en se faisant passer pour un tiers de confiance.

[2Nous remercions vivement Mathieu Meyer, expert en sécurité de l’information et cybersûreté, au sein du Cabinet de conseil Ogma Intelligence, avec qui nous nous sommes entretenus sur le sujet

[4Sur la défiguration de site internet, voir not. Cybermalveillance.gouv.fr, janv. 2020, Défiguration de site internet, que faire ?

[5Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques

[7Sur le sujet, voir not. ANSSI, Crypto : le webdoc’.

[9Sur Mac, il faudra d’abord créer une image du dossier (Spotlight), puis le protéger avec un mot de passe.

Partager cet article sur vos réseaux sociaux :