Bailleurs sociaux, Entreprises publiques locales : la fraude n’arrive pas qu’aux autres

Des bailleurs sociaux victimes d’escroqueries aux faux ordres de virement, des locataires Hlm bernés dans le cadre d’une escroquerie au détournement de loyer : la fraude et l’escroquerie forment une menace bien réelle, et même en forte recrudescence, qui ne touche pas que les entreprises du secteur privé. Les acteurs du logement social et les entreprises publiques locales (Epl) sont également ciblés.

Parce que les structures victimes d’arnaques se gardent souvent de s’en vanter, il est difficile d’évaluer l’ampleur du phénomène. Mais il est certain que celui-ci augmente en nombre et en dangerosité. Ainsi en 2023, 64 % des entreprises auraient subi au moins une tentative de fraude au cours des 12 derniers mois, soit 28 points de plus qu’en 2022*$. Dans 37% des cas, la fraude causait de bien réels préjudices financiers.

« La fraude, cela n’arrive pas qu’aux autres. » résume Sophie Fina, responsable du département Prévention Formation Fraude à La Banque Postale. « La fraude a changé d’échelle. Elle est de plus en plus technologique, difficilement détectable parfois, et les fraudeurs de plus en plus « professionnels ».

Digitalisation du suivi des baux, du paiement des loyers, des chantiers et des demandes d'intervention, transparence et accessibilité des données issues des procédures d'attribution des logements et des indicateurs de performance, large contribution des Epl à la simplification de la vie quotidienne des citoyens via la smart city : la numérisation du secteur du logement social et des Epl est récente, mais progresse de manière exponentielle. Avec la dématérialisation des procédures et d’un nombre croissant de services, les paiements à distance deviennent la norme. Or si ces usages digitaux fluidifient les échanges et bien que les banques les sécurisent, ils permettent également aux fraudeurs de construire plus facilement leurs parcours au sein des organisations. « Là où l’échange physique permettait auparavant de s’assurer directement de l’identité d’un interlocuteur, le distanciel demande une évolution sur les possibilités de vérification. Un changement de paradigme. » explique Sophie Fina. « Il est ainsi possible d’usurper l’identité d’une personne avec une adresse mail comportant seulement un point ou un « s » en plus, ou en réalisant une intrusion après avoir collecté des identifiants et mots de passe. Il faut savoir que dans une boîte mail professionnelle, on laisse une multitude de traces et d’informations. Non sécurisée, une messagerie est un véritable « self-service » pour les fraudeurs, qui n’ont qu’à se servir. »

Autre phénomène propre au secteur de l’habitat social : on y observe des fraudes au règlement de loyer. Deux situations vont faire réaliser le virement par la victime : soit après usurpation du nom de l’entité (via, une communication de l’IBAN (International Bank Account Number) frauduleux par mail falsifié où le nom de l’émetteur est modifié à la marge), soit après réception du mail légitime avec un IBAN modifié à l’insu de la victime, sur la quittance, par le fraudeur. C’est pourquoi il est important de vérifier en amont du règlement, auprès de l’interlocuteur habituel, que les codes BIC (Bank Identifer Code)/IBAN sont exacts.

Droit au but, pour une réussite au premier contact : telle est la logique des escrocs. Pour cela, il leur est nécessaire de recueillir le maximum d’informations en amont sur le bailleur ou l’entreprise : c’est ce que l’on appelle l’ingénierie sociale. Cette pratique de manipulation psychologique est l’un des principaux vecteurs de la fraude au président, consistant à faire réaliser un virement par le service comptabilité ou par un collaborateur habilité à valider cette opération. Il s’agit de pousser les individus à divulguer de leur plein gré des informations confidentielles sur l’organisation de la structure, le rôle de chacun dans l’organisation etc.

Cela par tous les moyens : appel téléphonique, sites professionnels, réseaux sociaux...

« Les ingrédients d’une fraude au Président sont assez repérables. » explique Sophie Fina. « Il s’agit toujours de piéger la victime dans un huis-clos, afin d’obtenir d’elle un virement non planifié, urgent et confidentiel. »

Rénovation énergétique, optimisation des coûts de maintenance, relation aux locataires, gestion des flux de données, meilleure anticipation des risques : l’intelligence artificielle offre de multiples opportunités dans le logement social. Mais il devient aussi beaucoup plus facile de fabriquer des faux tout à fait convaincants, notamment à des fins de fraude à l’usurpation d’identité, ou encore de fraude au faux fournisseur (usurpation de l’identité pour obtenir le règlement d’une facture à l’appui d’un RIB frauduleux). Les faux emails ne sont ainsi plus truffés de fautes d’orthographe et les faux sites sont beaucoup plus réalistes.

Dans ce contexte, adopter des réflexes de vigilance et de prévention devient impératif. Cela à tous les échelons de l’organisation. Les remontées de tentatives de fraude ont convaincu Sophie Fina : « L’usurpation d’identité est à la source de nombreuses fraudes. Vérifier la véracité des contacts que l’on n’a pas initiés est dès lors une précaution absolument incontournable. Pour cela, le contre-appel à l’interlocuteur habituel ou au service comptabilité, au numéro enregistré dans le système d’information ou dans le contrat, est un réflexe à fort impact. Il s’agit de s’assurer que la demande émane bien de la bonne personne. »

Tout manque de cohérence et toute discontinuité (un changement de RIB, même pré-annoncé par courrier, un procédé inhabituel chez un fournisseur stratégique etc.) doivent appeler à la vigilance. Il est préférable d’ajourner l’action demandée, même (et surtout) si la demande est insistante, voire pressante.