Cyberarnaque au RIB substitué : une menace discrète mais redoutable
Dans l’univers toujours plus complexe de la cybersécurité, certaines arnaques se distinguent par leur simplicité… et leur efficacité. C’est le cas de la « Cyberarnaque au RIB substitué », une fraude aussi discrète que dévastatrice qui continue de faire des victimes en France, aussi bien chez les particuliers que dans le monde professionnel, y compris parmi les artisans, les TPE/PME et même les juridictions prud’homales. Ce type d’arnaque, qui consiste à intercepter ou falsifier un relevé d’identité bancaire (RIB) pour rediriger un paiement vers un compte frauduleux, peut ruiner des mois, voire des années de travail en quelques clics.
Comment fonctionne l’arnaque au RIB substitué ?
La Cyberarnaque au RIB substitué repose sur un changement frauduleux des coordonnées bancaires d’un bénéficiaire légitime au moment d’un virement. Le fraudeur, généralement très bien informé et patient, va :
1. S’introduire dans les échanges électroniques :
🔐 Hameçonnage (phishing) :
Le collaborateur reçoit un email piégé, imitant par exemple une notification Microsoft 365, Google Workspace ou un service de messagerie. En cliquant sur le lien, il est dirigé vers une fausse page de connexion, où il saisit ses identifiants — que l’attaquant récupère instantanément.
🛑 Réutilisation de mots de passe :
Si l’adresse mail est protégée par un mot de passe faible ou déjà divulgué lors d’une fuite de données (ex : LinkedIn, Adobe, etc.), les pirates peuvent accéder à la boîte en testant automatiquement des combinaisons connues (attaque par credential stuffing).
🔓 Absence de double authentification (2FA) :
Dans 80 % des cas, l’absence de vérification par SMS ou application mobile rend la prise de contrôle très facile. Une fois connecté, le pirate peut lire tous les mails en temps réel et même envoyer des messages en se faisant passer pour l’utilisateur.
2. Observer les communications :
👀 Accès silencieux :
Pour rester discret, le pirate peut créer une règle de transfert automatique : tous les emails contenant les mots « RIB », « virement », « facture » sont copiés vers une adresse cachée, sans alerter l’utilisateur légitime.
3. Fournir un Faux RIB :
Le pirate intercepte l’échange email contenant le RIB initial (envoyé en pièce jointe ou dans le corps du mail).
Il crée ensuite un document PDF quasi identique, avec le même logo, même en-tête, même mise en page, mais en remplaçant le RIB par celui d’un compte qu’il contrôle.
Il envoie ce faux document depuis l’adresse mail compromise ou une adresse très proche (ex : comptabilite@fournisseur.fr devient comptabilité@fournisseur-fr.com) pour remplacer le précédent.
4. Encaisser l’argent :
Sur un compte bancaire souvent ouvert à l’étranger ou sous fausse identité, avant de disparaître.
Dans de nombreux cas, l’escroc va jusqu’à imiter parfaitement les logos, signatures et formules de politesse de l’interlocuteur habituel pour tromper la vigilance de l’émetteur du virement.
Des exemples concrets et alarmants de la Cyberarnaque au RIB substitué en France
📍 Angoulême : cinq salariés floués après leur victoire aux prud’hommes
En 2025, cinq anciens salariés d’une entreprise charentaise remportent leur procès aux prud’hommes. Une victoire amère : le montant total des indemnités, une centaine de milliers d’euros, est versé… sur des comptes bancaires frauduleux. Un hacker avait intercepté les échanges et substitué les RIB avant l’ordre de virement du tribunal. Une enquête a été ouverte, mais l’argent, quant à lui, s’est volatilisé.
🛠️ Des artisans pris pour cible en Nouvelle-Aquitaine
Dans le secteur du bâtiment, les artisans sont particulièrement exposés. En 2022, un artisan plombier de Dordogne n’a jamais vu la couleur d’un virement de 18 000 € qu’un client pensait lui avoir réglé. L’escroc, en se faisant passer pour le plombier, avait envoyé un nouveau RIB par mail au client, en lui expliquant que ses coordonnées bancaires avaient changé. Le client, de bonne foi, a effectué le virement… directement vers le compte du fraudeur.
🧾 TPE et PME : des services comptables débordés et vulnérables
Les petites entreprises, souvent sans service informatique dédié, sont régulièrement ciblées. Dans un cas survenu à Lyon, une PME de 12 salariés a vu un paiement fournisseur de 42 000 € détourné de cette manière. Là encore, le mail frauduleux semblait provenir de l’adresse réelle du fournisseur, et le ton était professionnel. La fraude n’a été détectée qu’après plusieurs relances du fournisseur légitime, déjà en difficulté financière.
Pourquoi cette fraude fonctionne-t-elle si bien ?
Confiance dans l’email : la majorité des victimes n’imaginent pas que l’email de leur interlocuteur puisse avoir été compromis.
Absence de vérification manuelle : un simple appel téléphonique pour valider un changement de RIB pourrait éviter bien des drames.
Failles de sécurité : beaucoup d’entreprises n’ont pas activé l’authentification à deux facteurs (2FA) ou utilisent des mots de passe faibles.
Lenteur des banques à réagir : une fois le virement effectué, les chances de récupération sont minimes si la fraude n’est pas détectée dans les 24h.
Comment se protéger efficacement ?
✅ Pour les particuliers et salariés :
Ne jamais modifier les coordonnées bancaires d’un bénéficiaire sur simple demande par email.
Vérifier par appel téléphonique tout changement de RIB.
Activer la double authentification sur toutes les messageries.
Sensibiliser les proches, notamment les personnes âgées, à ces risques.
🏢 Pour les entreprises :
Instaurer une procédure systématique de double validation pour tout changement de RIB.
Former les équipes comptables et RH aux techniques de social engineering.
Sécuriser les messageries professionnelles via des outils anti-phishing et des alertes de connexion suspecte.
Imposer des mots de passe robustes et uniques, idéalement gérés via un coffre-fort numérique.
En cas de doute ou de fraude : réagir vite
Contacter immédiatement sa banque pour tenter de bloquer le virement.
Déposer plainte au commissariat ou à la gendarmerie.
Prévenir l’ANSSI (Agence nationale de la sécurité des systèmes d’information) ou le site Cybermalveillance.gouv.fr.
Conserver tous les éléments de preuve (emails, RIB, échanges) pour faciliter l’enquête.
Qui est responsable ? Peut-on être remboursé ?
La question de la responsabilité dans les fraudes au RIB est souvent délicate, car elle dépend de plusieurs facteurs :
💼 L’émetteur du virement (entreprise, administration ou particulier) est généralement considéré comme responsable s’il a envoyé l’argent vers un compte frauduleux, même par erreur.
🏦 Les banques, quant à elles, n’ont en principe aucune obligation de remboursement si le virement a été dûment validé par le client (signature électronique, double validation, etc.).
⚖️ Toutefois, si la faille de sécurité est du côté du destinataire légitime, ou si une entreprise n’a pas respecté ses obligations de vigilance, la responsabilité peut être partagée ou renvoyée devant un juge.
En pratique :
Les victimes doivent agir très vite (sous 24 à 48h) pour espérer bloquer les fonds encore disponibles.
Une plainte pénale est nécessaire pour engager des poursuites, mais le remboursement n’est pas automatique.
Dans certains cas, des tribunaux ont reconnu une négligence fautive de l’entreprise victime ou d’un prestataire ayant mal protégé ses communications.
👉 Résultat : les recours existent, mais ils sont longs, incertains, et très rarement favorables sans preuve solide d’un manquement grave à la sécurité.
La vigilance est l’arme la plus efficace
Dans un monde où la dématérialisation des échanges financiers s’accélère, la substitution de RIB s’impose comme une menace sérieuse, souvent sous-estimée. À la frontière entre cyberattaque et escroquerie classique, cette fraude exige une réponse collective : formation, outils de sécurité, protocoles internes, et surtout, bon sens numérique. Le réflexe de décrocher son téléphone avant d’envoyer de l’argent peut, littéralement, éviter une catastrophe.
