Faux RIB fournisseur : nouvelle vague de fraude au virement en entreprise

Qu'est-ce qui se passe

15 000 €, c'est la perte moyenne signalée par victime sur la vague FOVI de mai 2026. Et ce n'est qu'une moyenne — les cas observés montent à 80, 120, parfois plus de 200 k€ par opération, quand les attaquants ont visé une grosse échéance fournisseur. Le profil des victimes est très constant : PME et collectivités de 20 à 200 salariés, services comptables tenus par une ou deux personnes sans procédure formelle de validation des changements bancaires.

L'arnaque elle-même n'est pas nouvelle — la fraude au changement de RIB fournisseur est documentée depuis 15 ans. Ce qui est nouveau cette année, c'est la qualité des emails (correction parfaite du français, charte graphique fournisseur reproduite à la lettre) et l'élargissement du ciblage hors des grands comptes traditionnels.

Comment l'attaque se déroule

Mécanique fovi-rib-fournisseur, en quatre temps :

1. Repérage — OSINT public sur les relations fournisseur-client. Sources gratuites pour l'attaquant : signatures de mails publiées dans des forums professionnels, mentions LinkedIn d'employés, communiqués de presse mentionnant des partenariats, factures parfois publiées sur des plateformes de marchés publics. Les collectivités sont particulièrement exposées car beaucoup de leurs contrats sont publics.

2. Compromission ou typosquatting — soit l'attaquant phishe un employé du fournisseur pour accéder à sa boîte mail (il envoie ensuite depuis l'adresse authentique), soit il crée un domaine typosquatté comme fournisseur-fr.com au lieu de fournisseur.fr.

3. Demande de changement — mail au comptable de l'entreprise cliente : « nous avons changé de banque suite à un audit interne, voici notre nouveau RIB pour les prochaines échéances ». Justification calibrée pour ne pas surprendre. Souvent envoyé une à deux semaines avant une grosse échéance dont l'attaquant connaît le montant.

4. Virement détourné — vers un compte mule en Lituanie, Estonie, Pays-Bas (via banque e-money type Revolut Business compromise) ou Maroc. Les fonds rebondissent sur 2-3 comptes en cascade, en moins de 4 heures. Passé ce délai, le rappel SEPA devient quasi impossible.

Un changement de RIB fournisseur doit toujours être vérifié par un canal différent de celui qui l'a annoncé. Si le mail vient de l'adresse habituelle de ton contact, appelle-le sur le numéro que tu as déjà — jamais un numéro fourni dans le mail lui-même.

Variantes en hausse côté entreprise : la fraude au président pure (audio) documentée dans notre alerte voice cloning, et la version vidéo deepfake sur Microsoft Teams. Les trois forment la famille FOVI 2026.

Comment reconnaître

• Vérifier le domaine de l'expéditeur caractère par caractère (le typosquat le plus subtil suffit)
• Un changement de RIB juste avant une grosse échéance = signal d'alerte fort, à recouper systématiquement
• Demande émanant d'un nouveau interlocuteur côté fournisseur (pas ton contact habituel) = signal d'alerte
• Insistance pour traiter rapidement = signal d'alerte

Procédure défensive minimale en entreprise

• Double validation obligatoire sur tout changement de coordonnées bancaires fournisseur (le comptable et un second valideur, minimum)
• Vérification par téléphone sur le numéro existant (jamais un numéro fourni dans le mail)
• Délai d'attente de 24-48 h entre la demande et le premier virement vers le nouveau RIB
• Sensibilisation régulière des équipes comptables — c'est ce qui détecte 80 % des tentatives

Que faire si concerné

• Si virement parti : appelle la banque dans l'heure. Le rappel SEPA partiel est efficace si demandé sous 4-6 h
• Dépôt de plainte rapide (commissariat + procureur si le montant le justifie)
• Préviens ton vrai fournisseur — sa boîte mail est peut-être encore compromise, et d'autres clients vont être ciblés
• Signale à Cybermalveillance.gouv.fr (cellule FOVI dédiée)

Sources

Sources

• Cybermalveillance.gouv.fr — FOVI
• ANSSI — Bonnes pratiques