Ce qui est arrivé concrètement
L’affaire débute par un fait simple et malheureusement banal. Un e-mail frauduleux est envoyé à l’administration chargée du paiement d’un salaire. Le message demande un changement de numéro de compte bancaire afin que la rémunération soit versée sur un nouvel IBAN. Aucun document crédible n’accompagne la demande. Aucun élément ne permet d’authentifier formellement son auteur.
L’employé qui reçoit cet e-mail traite la demande comme légitime. Aucune vérification n’est effectuée. Aucun contact direct n’est pris avec la personne concernée. Aucun supérieur n’est alerté. Le changement d’IBAN est encodé et le paiement est exécuté.
Le salaire est versé sur un autre compte que celui du bénéficiaire légitime.
Pourquoi ce n’est pas une faute numérique
Il n’y a eu ni piratage, ni intrusion informatique, ni exploitation d’une faille logicielle. Aucun système n’a été compromis. Aucun dispositif de sécurité n’a été contourné.
Les outils ont fonctionné exactement comme ils ont été conçus pour fonctionner. Le logiciel de gestion a appliqué une modification demandée. La banque a exécuté un ordre de paiement valide. Le numérique n’a commis aucune erreur.
Parler de faute numérique est donc un contresens. Le problème ne vient pas de la technologie, mais de la manière dont elle a été utilisée par les employés administratifs.
Une erreur humaine qui engage une responsabilité individuelle
La faille se situe à un endroit très précis. L’employé qui a reçu l’e-mail frauduleux n’a effectué aucune vérification. Il n’a pris aucune initiative pour confirmer la demande par un autre canal. Il a agi comme un simple exécutant.
Dans un contexte aussi sensible qu’un changement d’IBAN salarial, cette absence totale de vérification constitue une faute grave.
Un employé manipulant des données financières ne peut pas se comporter comme un robot appliquant mécaniquement une instruction reçue par e-mail.
Prendre l’initiative de demander une confirmation n’est pas un excès de zèle. C’est une obligation élémentaire de prudence. L’absence de procédure ne justifie pas l’absence de jugement.
Le problème culturel de l’absence d’initiative dans certaines administrations
Cette affaire met en lumière un problème plus profond. Dans certaines administrations, une culture implicite décourage la prise d’initiative.
Dans ce contexte, poser une question ou demander une confirmation est perçu comme un risque professionnel. On préfère ne rien faire plutôt que d’en faire trop. Le message implicite devient alors clair. Attention à ne pas dépasser le cadre. Attention à ne pas être celui qui pose trop de questions.
Ce fonctionnement favorise des comportements automatisés, presque mécaniques, qui sont précisément exploités par les fraudeurs. L’ingénierie sociale fonctionne d’autant mieux que l’esprit critique est mis en veille.
Paiement SEPA et responsabilité de la vérification
Un virement SEPA repose sur la validité technique de l’IBAN. Si le numéro existe et est correctement formaté, le paiement est exécuté.
La banque ne vérifie pas que le nom du bénéficiaire correspond réellement au titulaire du compte. Elle n’a pas à juger de la légitimité de la demande. Elle exécute un ordre reçu.
La fraude ne se produit donc pas au niveau bancaire, mais bien en amont, au moment où l’IBAN est modifié dans le système interne par les employés administratifs.
Applications bancaires et logiciels professionnels, une confusion fréquente
Beaucoup de citoyens comparent cette situation avec leur expérience personnelle lorsqu’ils effectuent un virement depuis une application bancaire sur smartphone. Dans ces applications grand public, un avertissement peut apparaître lorsque le nom du bénéficiaire ne correspond pas à l’IBAN.
Ce contrôle donne l’impression que le système bancaire bloque automatiquement les erreurs. En réalité, il s’agit d’une surcouche d’assistance à l’utilisateur, propre à certaines applications modernes. Ce n’est pas une règle juridique du paiement SEPA.
Dans les logiciels professionnels de gestion de paiements utilisés par les administrations et les services comptables, comme Isabel et sa version actuelle Isabel 6, ce type de contrôle n’est pas effectué. Ces outils sont conçus pour exécuter des ordres validés en amont par l’organisation, pas pour vérifier leur légitimité.
Si un IBAN est encodé et qu’aucune procédure interne ne bloque l’opération, le paiement est exécuté. Toute la responsabilité de la vérification repose sur l’organisation et sur les personnes qui y travaillent.
Le rôle central des mules financières
Un élément essentiel est souvent ignoré. Le compte bancaire utilisé dans ce type de fraude n’appartient presque jamais au véritable auteur de l’escroquerie.
Dans la majorité des cas, l’argent est versé sur le compte d’une mule financière. Il s’agit d’un tiers, souvent jeune, parfois précaire, à qui l’on promet un pourcentage en échange de l’utilisation de son compte bancaire. L’argent transite par ce compte avant d’être retiré ou transféré ailleurs.
Lorsque l’affaire est découverte, ce compte est immédiatement identifié. La mule devient la première personne inquiétée par les autorités. Le véritable organisateur, lui, reste invisible et recommence ailleurs avec une autre mule.
Pourquoi se tromper de cible empêche de comprendre
Se moquer de la victime ou focaliser le débat sur sa fonction permet d’éviter la vraie question. Comment est-il encore possible, en 2025, qu’un simple e-mail suffise à déclencher un changement d’IBAN salarial sans vérification humaine minimale.
Ce type de fraude touche chaque année des milliers d’entreprises, d’administrations et de citoyens. Elle ne dépend ni du statut de la victime ni de son niveau de compétence numérique. Elle dépend de l’existence ou non de procédures et d’une culture de la vigilance.
Une fracture numérique révélée par cette affaire
Cette affaire illustre une fracture numérique profonde. Beaucoup associent encore la cybersécurité aux virus, aux hackers et aux attaques techniques sophistiquées. En réalité, la majorité des fraudes reposent sur des mécanismes simples, humains et répétitifs.
La technologie ne compense pas l’absence de procédures. Elle peut même amplifier les conséquences d’une erreur humaine lorsqu’aucun garde-fou n’est en place.
Comprendre pour éviter de reproduire
Ce type de fraude peut être évité par des mesures simples. Vérifier systématiquement toute demande de changement d’IBAN. Contacter directement la personne concernée. Encourager les agents à prendre des initiatives de prudence plutôt qu’à exécuter aveuglément.
La cybersécurité commence avant l’informatique. Elle commence par un doute légitime, par une question posée au bon moment et par une responsabilité assumée.
Conclusion
L’affaire du changement d’IBAN ayant touché Mathieu Michel n’est pas une faute numérique. Ce n’est ni un bug, ni un piratage, ni une ironie liée à sa fonction. C’est une erreur humaine rendue possible par l’absence de vérification, par une culture administrative qui décourage l’initiative et par une méconnaissance du fonctionnement réel des paiements SEPA.
Mathieu Michel est revenu lui-même sur cette affaire et sur les enjeux plus larges de la sécurité numérique au sein des administrations dans un article publié sur son site personnel.