Contexte : un client, une messagerie, une faille

d-side solutions assure la gestion de l'infrastructure IT d'une PME romande active dans la distribution. Dans ce cadre, nous gérons notamment leur nom de domaine, leur hébergement et leur configuration email. Un matin d'automne 2025, le client nous contacte, inquiet : un fournisseur a reçu un email semblant provenir de son adresse, lui demandant d'annuler une commande et de rembourser CHF 7 000 sur un IBAN italien inconnu.

🚨 Alerte initiale

Un prestataire reçoit un email demandant l'annulation d'une commande et un remboursement sur un compte bancaire étranger. L'email est visuellement identique à ceux habituellement envoyés par notre client.

Dans un premier temps, nous pensons à du spoofing classique — un expéditeur qui usurpe l'adresse email d'envoi sans accès réel à la boîte. Mais la réalité s'avère bien plus grave.

Man-in-the-Middle Email Compromise PME Suisse Fraude IBAN

Anatomie de l'attaque

Après investigation, nous découvrons qu'il ne s'agit pas de spoofing, mais d'une attaque man-in-the-middle (MITM) active sur la messagerie. L'attaquant n'envoie pas de faux emails — il intercepte les vrais, les modifie, et les réachemine. Les réponses des destinataires sont également détournées.

// Schéma de l'attaque interceptée

Client PME
expéditeur légitime
⚠ Attaquant
intercepte & modifie
Destinataire
reçoit version falsifiée
Client PME
ne reçoit rien
⚠ Attaquant
intercepte les réponses
Destinataire
répond normalement

L'attaquant maintient deux conversations parallèles à l'insu des deux parties

Vecteur d'intrusion : règles de redirection cachées

L'analyse du compte webmail révèle que deux règles de redirection automatique avaient été créées à l'insu du client. Tous les emails entrants étaient silencieusement transmis à deux adresses Gmail tierces, sans jamais apparaître comme lus ou redirigés dans la boîte.

// Règles de redirection malveillantes (reconstitution)

IF email reçu THEN
  FORWARD TO samuteladav@gmail.com   ← adresse principale
  FORWARD TO mc0828906@gmail.com    ← adresse de backup
  MOVE    TO Corbeille            ← emails supprimés automatiquement

// Filtre additionnel : masquer les alertes
IF from IN [*@client-a.ch, *@client-b.ch, *@client-c.ch]
  MOVE TO Corbeille            ← clients ciblés mis en silence

Un troisième filtre avait été configuré pour déplacer automatiquement vers la corbeille les emails provenant de trois clients spécifiques — précisément ceux qui auraient pu alerter le client des communications frauduleuses qu'ils recevaient.

Découverte des trojans

Parallèlement, nous faisons analyser les postes informatiques du client par plusieurs solutions antivirus. Plusieurs trojans sont identifiés, vraisemblablement responsables du vol des identifiants webmail, malgré la présence d'un antivirus commercial actif.

⚠ Point technique

Un antivirus actif ne garantit pas la détection en temps réel de tous les trojans. Les malwares modernes utilisent des techniques de chiffrement et de mutation de signature pour contourner les moteurs d'analyse en temps réel, tout en étant détectés lors d'un scan complet ultérieur.

Chronologie de la réponse à l'incident

Jour J — Détection

Alerte du fournisseur fraudé

Un prestataire contacte le client après avoir reçu un email suspect demandant un remboursement IBAN. d-side solutions est immédiatement contacté.

Jour J — Containment

Changement immédiat du mot de passe

Le mot de passe est changé. Nous découvrons cependant que des emails continuent d'être interceptés — les règles de redirection étant indépendantes du mot de passe.

Jour J+1 — Investigation

Découverte des règles de redirection

Analyse du compte webmail Horde 5.2.x. Identification des deux règles de forwarding malveillantes et du filtre corbeille. Suppression immédiate.

Jour J+2 — Analyse postes

Scan antivirus multi-outils

Analyse complète avec Bitdefender + Malwarebytes sur tous les postes Windows. Découverte et nettoyage de plusieurs trojans.

Jour J+3 — Juridique

Dépôt d'une plainte à l'OFCS

Rédaction du rapport d'incident pour l'Office fédéral de la cybersécurité (OFCS). Identification d'un suspect potentiel via les adresses Gmail, transmission aux autorités.

Semaines suivantes — Hardening

Sécurisation complète de l'infrastructure

Migration vers webmail récent, activation 2FA, vérification SPF/DKIM/DMARC, formation du client, procédure de vérification téléphonique obligatoire pour tout changement d'IBAN.

Analyse technique : pourquoi ça a fonctionné

Configuration email côté victime

Une des premières questions posées lors d'une telle attaque est : « Votre SPF, DKIM et DMARC étaient-ils correctement configurés ? ». Dans ce cas, la réponse est oui.

// Configuration DNS email vérifiée

; SPF — spécifie les serveurs autorisés à envoyer
example.ch.  TXT  "v=spf1 include:_spf.provider.ch +mx +a -all"

; DKIM — signature cryptographique de chaque email
mail._domainkey.example.ch.  TXT  "v=DKIM1; k=rsa; p=[clé publique]"

; DMARC — politique de traitement des emails qui échouent
_dmarc.example.ch.  TXT  "v=DMARC1; p=quarantine; rua=mailto:..."

💡 Point clé

SPF, DKIM et DMARC protègent contre le spoofing externe. Ils ne protègent pas contre un attaquant qui a accès légitime à la boîte email via des identifiants volés. C'est précisément ce qui s'est passé ici.

La faille réelle : le webmail obsolète

Le client utilisait un webmail Horde version 5.2.x, une version ancienne présentant des vulnérabilités connues. L'attaquant a probablement obtenu les identifiants via les trojans présents sur les machines, puis créé les règles de redirection — une action banale, invisible, qui persiste même après un changement de mot de passe.

🚨 Leçon critique

Changer son mot de passe ne suffit pas après une compromission. Il faut auditer et supprimer toutes les règles de filtrage, de redirection et de transfert automatique de la boîte email.

Mesures de remédiation mises en place

  • Suppression des règles malveillantes — Les deux règles de forwarding et le filtre corbeille ont été immédiatement supprimés.
  • Rotation des mots de passe — Changement de tous les mots de passe email et applicatifs.
  • Nettoyage des postes infectés — Suppression de tous les trojans identifiés, mise à jour des systèmes et des antivirus.
  • Activation du 2FA — Sur la messagerie et tous les services critiques.
  • Migration vers un webmail sécurisé — Remplacement de l'interface Horde obsolète.
  • Dépôt de plainte à l'OFCS — Rapport formel transmis à l'Office fédéral de la cybersécurité.
  • Procédure hors-bande — Tout changement de coordonnées bancaires doit être confirmé par appel téléphonique.
  • Formation du client — Session de sensibilisation aux risques email et aux réflexes à adopter.

Comment prévenir ce type d'attaque

Côté technique

  • !Utiliser un webmail à jour et maintenu activement.
  • !Activer SPF, DKIM et DMARC sur tous les domaines utilisés pour l'email professionnel.
  • !Activer la double authentification (2FA) sur tous les comptes accessibles depuis l'extérieur.
  • !Auditer régulièrement les règles de filtrage et de redirection des boîtes email.
  • !Effectuer des scans antivirus complets périodiques sur tous les postes.

Côté organisationnel

  • !Établir une procédure hors-bande pour tout changement de coordonnées bancaires.
  • !Former les collaborateurs à reconnaître les signaux d'alerte.
  • !Définir un plan de réponse à incident simple.

En Suisse, ce type d'attaque tombe sous plusieurs articles du Code Pénal :

⚖ Code Pénal Suisse (CP)

Art. 143bis CP — Accès indu à un système informatique : jusqu'à 3 ans de privation de liberté.

Art. 143 CP — Soustraction de données : jusqu'à 5 ans.

Art. 179novies CP — Obtention sans droit de données personnelles : jusqu'à 1 an.

En cas d'incident similaire, déposez plainte auprès de la police cantonale et signalez l'incident à l'Office fédéral de la cybersécurité (OFCS) via report.ncsc.admin.ch.

En résumé

Une attaque man-in-the-middle sur la messagerie n'est pas réservée aux grandes entreprises. Les PME suisses sont des cibles de choix précisément parce qu'elles ont des relations de confiance établies avec leurs partenaires, des montants transactionnels significatifs, et des systèmes parfois moins maintenus.

Au-delà de la perte financière directe — limitée dans ce cas —, le véritable danger réside dans l'atteinte à la réputation. Quand vos partenaires commerciaux reçoivent des emails frauduleux provenant en apparence de votre adresse, c'est la confiance bâtie au fil des années qui est mise en péril. Restaurer cette crédibilité prend bien plus de temps que de nettoyer une boîte email.

Dans ce cas, un webmail à jour et l'activation du 2FA auraient considérablement réduit la surface d'attaque. La réponse rapide de d-side solutions a permis de contenir l'incident et d'initier les démarches légales appropriées.

Si vous pensez que votre messagerie professionnelle pourrait être compromise, ou souhaitez faire auditer votre sécurité email, contactez-nous.

LD

Luc Demierre

Fondateur & Consultant IT — d-side solutions Sàrl, Fribourg

Spécialisé en architecture IT, sécurité des systèmes et intégration e-commerce pour les PME suisses. Fondateur de d-side solutions Sàrl depuis 2022.