Qu'est-ce que l'arnaque BEC (Business Email Compromise) ?

Le BEC usurpe l'identité d'un contact professionnel connu pour vous faire payer une fausse facture ou changer un RIB de virement. L'escroc affiche le vrai nom d'un contact mais utilise une adresse frauduleuse, et falsifie souvent le champ Reply-To pour contrôler les réponses. Contrairement au phishing classique, le BEC joue sur la normalité — pas d'urgence, pas de faute d'orthographe, juste un échange professionnel qui semble anodin.

Comment détecter un champ Reply-To frauduleux dans un email ?

Sur Gmail : cliquez sur les trois points à droite de l'email → 'Afficher l'original' pour voir les en-têtes complets. Sur Outlook : Fichier → Propriétés → En-têtes Internet. Cherchez le champ Reply-To : s'il diffère du champ From, c'est un signal d'alarme — un expéditeur légitime n'a jamais de raison de séparer ces deux champs.

Que faire si j'ai déjà payé une fausse facture reçue par email ?

Appelez immédiatement votre banque pour demander un recall de virement — chaque heure perdue réduit les chances de succès. Conservez l'email frauduleux complet avec ses en-têtes comme preuve. Portez plainte au commissariat ou sur pre-plainte.interieur.gouv.fr. Citez l'article L.133-18 du code monétaire et financier pour le remboursement des opérations non autorisées.

Comment vérifier qu'une demande de paiement par email est légitime ?

Appelez toujours votre contact habituel par téléphone sur son numéro direct (pas en répondant à l'email) pour confirmer toute demande de paiement ou changement de RIB. C'est la seule vérification fiable. Ne procédez jamais à un paiement important basé uniquement sur un email, même si l'adresse semble correcte.

Arnaque à la fausse facture par email : quand un contact connu est usurpé

Par Nicolas Cassini — publié le 16 avril 2026

En bref : ne répondez pas et ne payez pas. Vérifiez l'adresse réelle de l'expéditeur et surtout le champ Reply-To — s'il diffère du champ From, c'est suspect. Appelez votre contact habituel par téléphone pour confirmer. Si vous avez déjà payé, demandez un recall de virement à votre banque immédiatement.

Nous avons reçu chez Lejumo un email qui semblait provenir d'un contact professionnel connu. L'affichage du nom était correct, le ton de l'échange parfaitement crédible, et une facture était jointe. Pourtant, l'expéditeur réel était vinal.nuc@nsslogistics.com — un domaine sans lien avec notre contact — et le champ Reply-To avait été falsifié pour pointer vers compta@lejumo.com, notre propre adresse catchall. Voici comment fonctionne cette arnaque et comment ne pas se faire avoir.

À quoi ressemble cet email frauduleux ?

Capture d'écran de l'arnaque BEC — fausse facture avec usurpation d'identité et faux Reply-To compta@lejumo.com — L'email affiche un nom connu — mais l'adresse réelle est vinal.nuc@nsslogistics.com et le Reply-To est détourné vers compta@lejumo.com

L'email se présente comme la réponse à un rappel de paiement concernant la facture FRC4768 émise au nom de "Babajide Laguda", 23 Av. Kléber, 75116 Paris. Le message est court, poli, sans faute d'orthographe : "Veuillez m'excuser pour ce retard. Le règlement sera effectué très prochainement." Tout est conçu pour rassurer et éviter tout questionnement.

Le mécanisme de l'arnaque BEC (Business Email Compromise)

Cette technique s'appelle le BEC — Business Email Compromise, ou arnaque au faux virement / fausse facture. Elle cible les entreprises et indépendants en exploitant trois leviers :

L'usurpation du nom d'affichage : la plupart des messageries affichent d'abord le nom de l'expéditeur, pas son adresse. L'escroc utilise le vrai nom d'un contact pour passer le premier filtre de méfiance.
L'adresse réelle cachée : l'email vient de vinal.nuc@nsslogistics.com — un domaine quelconque, mais visible seulement si on clique sur le nom de l'expéditeur.
Le Reply-To falsifié : en répondant à cet email, votre réponse n'irait pas à l'expéditeur réel, mais à compta@lejumo.com — notre catchall. Ce détournement permet à l'escroc de contrôler la suite de la conversation ou, dans d'autres variantes, de rediriger les réponses vers une boîte qu'il contrôle.

Les signes qui trahissent l'arnaque

Adresse expéditeur incohérente : cliquez toujours sur le nom affiché pour révéler l'adresse réelle — ici vinal.nuc@nsslogistics.com n'a aucun rapport avec l'entreprise supposée
Reply-To différent de l'adresse d'envoi : c'est le signe le plus révélateur d'une tentative de détournement — un expéditeur légitime n'a aucune raison de séparer ces deux champs
Facture d'un tiers inconnu : "Babajide Laguda, 23 Av. Kléber, 75116 Paris" n'est pas un fournisseur référencé — toute facture d'un inconnu, aussi bien présentée soit-elle, doit déclencher une vérification
Ton neutre et rassurant : contrairement au phishing classique qui crée l'urgence, le BEC joue sur la normalité — pas de pression, pas d'erreur, juste un échange professionnel qui semble anodin
Contexte fabriqué : le fil de conversation montre un "rappel de paiement" préalable — un artifice pour simuler une relation commerciale établie et légitimer la facture

Ne répondez pas et ne procédez à aucun paiement

Toute réponse irait à une adresse contrôlée par l'escroc, pas à votre contact réel
La facture FRC4768 est frauduleuse — aucun paiement ne doit être effectué
Contactez votre interlocuteur habituel par un autre canal (téléphone, SMS direct) pour confirmer

Pourquoi notre adresse compta@lejumo.com a-t-elle été utilisée ?

L'adresse compta@lejumo.com est un alias catchall — tout email envoyé à n'importe quelle adresse @lejumo.com atterrit dans notre boîte, même si l'adresse n'a jamais été créée officiellement. Les escrocs exploitent cette pratique courante chez les petites entreprises : ils devinent ou construisent des adresses plausibles (compta@, contact@, facturation@…) pour leur donner l'apparence de la légitimité, sans avoir besoin d'en prendre le contrôle.

Dans notre cas, l'objectif était probablement de faire croire que "Fabrice" travaillait avec Lejumo ou passait par notre service comptabilité — un verni de crédibilité suffisant pour qu'un destinataire non méfiant valide la facture.

Que faire si vous avez reçu un email similaire ?

Ne répondez pas et ne cliquez sur aucun lien ou pièce jointe
Cliquez sur le nom de l'expéditeur pour vérifier l'adresse email réelle
Vérifiez le champ Reply-To dans les en-têtes de l'email (accessible via "Afficher les sources" ou "Détails")
Appelez votre contact supposé sur son numéro habituel pour confirmer qu'il a bien envoyé cet email
Signalez l'email à phishing@signal-spam.fr ou sur signal-spam.fr

Que faire si vous avez déjà payé la facture ?

Appelez immédiatement votre banque pour demander un recall du virement — la rapidité est déterminante
Conservez l'email frauduleux complet (avec les en-têtes) comme preuve
Portez plainte au commissariat ou en ligne sur cybermalveillance.gouv.fr
Signalez la fraude sur signalement.numerique.gouv.fr

Besoin d'analyser un email suspect ?

Vous avez reçu une facture ou un email dont vous n'êtes pas sûr ? Lejumo analyse l'email avec vous, vérifie les en-têtes et vous aide à sécuriser votre messagerie professionnelle. Appelez-nous au 06 99 70 49 50.

Appeler Lejumo

Comment vérifier rapidement un email professionnel suspect

Cliquez sur le nom affiché → l'adresse réelle apparaît : est-elle cohérente avec l'entreprise ?
Dans Gmail : cliquez sur les trois points → "Afficher l'original" pour voir les en-têtes complets
Dans Outlook : Fichier → Propriétés → En-têtes Internet
Cherchez le champ Reply-To : s'il diffère du champ From, c'est suspect
En cas de doute sur une facture : appelez toujours votre contact par téléphone avant de payer

Voir aussi Toutes nos ressources cybersécurité Fausse amende par email — noreply@cmi.co.ma Faux email Mondial Relay — arnaque livraison colis Que faire après une arnaque ? Comment porter plainte Désinfection PC après clic sur lien suspect