Étude de cas – Une chaîne de fraude non technique appuyée sur des services légitimes

TL; DR :

Quelques jours après la création d’une SASU, je reçois un courrier par la poste.

Il demande le paiement d’un montant présenté comme obligatoire dans le cadre de démarches administratives.

Après analyse, il s’agit d’une fraude structurée, reposant uniquement sur :

• du Social Engineering (ingénierie sociale),
• le bon timing (création récente de l’entreprise),
• l’utilisation de services parfaitement légitimes : QR code, Zoho Forms, Stripe.

Aucune faille technique n’est exploitée.

Le mécanisme fonctionne parce qu’il s’appuie sur un angle mort organisationnel, et non sur une vulnérabilité informatique.

1. Vecteur initial : le courrier postal

Le point de départ est un courrier physique, adressé à une entreprise nouvellement créée.

À première vue, rien d’alarmant :

• présentation administrative crédible,
• vocabulaire formel et maîtrisé,
• absence de fautes grossières,
• impression d’obligation,
• notion d’urgence implicite.