Un escroc a trompé la mairie de Baltimore en usurpant l’identité d’un fournisseur, détournant plus de 1,5 million USD. L’affaire révèle des failles durables dans les contrôles internes et illustre l’essor des escroqueries numériques ciblant les administrations.
Rejoignez-nous sur les réseaux sociaux
Aucun spam – Désinscription en un clic – Vie privée respectée
Historique de l'escroquerie
Décembre 2024 : usurpation d’identité via Workday. Février 2025 : virement frauduleux de 803 384,44 $ perdu. Mars 2025 : second virement de 721 236,60 US récupéré. Antécédents : 62 377 US volés en 2019, 376 213 $ en 2022. Transfert du service au Bureau du Contrôleur en janvier 2023. Mesures nouvelles : double validation, délai de 48 h, appels téléphoniques de confirmation, alertes automatisées. Montant global des pertes BEC aux États-Unis en 2024 : 2,8 milliards de dollars US.
La ville de Baltimore a perdu 803 384,44 USD (742 000 €) dans une fraude sophistiquée d’usurpation d’identité d’un fournisseur. L’incident, découvert au printemps 2025, s’ajoute à une série de détournements similaires déjà subis par la municipalité depuis 2019. Le stratagème met en lumière l’ampleur croissante des attaques dites Business Email Compromise[7] (BEC), qui exploitent la confiance institutionnelle plutôt que les vulnérabilités techniques. Face à un préjudice de plus d’1,5 million USD (1,38 millions d’€) engagé, la mairie tente de renforcer ses dispositifs de cybersécurité et de contrôle comptable.
Une fraude construite sur l’ingénierie sociale
Tout a commencé en décembre 2024. Un individu, utilisant le nom d’un véritable employé d’une société contractante de la ville, a soumis un formulaire en ligne via Workday, le système de gestion utilisé par Baltimore pour ses relations avec ses prestataires. L’adresse e-mail fournie n’appartenait pas au domaine officiel du fournisseur, mais l’incohérence n’a pas été repérée. Le service comptabilité fournisseurs a accepté la demande et modifié les coordonnées bancaires associées au compte du prestataire.
À partir de cette faille, deux paiements ont été initiés au bénéfice du fraudeur. Le premier, daté du 21 février 2025, s’élevait à 803 384,44 USD (742 000 €). Le second, le 10 mars, atteignait 721 236,60 $ (666 000 €). Si le second virement a pu être récupéré, le premier demeure irrécouvrable. En tout, plus de 1,5 million US (1,38 million €) ont transité hors des circuits légitimes, créant un trou net supérieur à 800 000 dollars dans les finances de la ville.
L’enquête interne révèle un schéma classique d’ingénierie sociale : aucun piratage technique sophistiqué, mais une exploitation ciblée de la confiance et de la routine administrative. L’escroc a joué sur la faiblesse des procédures de vérification[8] en se faisant passer pour un fournisseur connu, déclenchant une simple mise à jour bancaire sans validation externe.
Des précédents ignorés par les services financiers
Cette attaque n’est pas la première du genre pour Baltimore. Dès 2019, la ville avait déjà perdu 62 377 $ (57 600 €) dans une fraude comparable. En 2022, le montant s’élevait à 376 213 $ (347 000 €). Chaque fois, les inspecteurs généraux avaient recommandé d’instaurer des contrôles systématiques sur les changements de coordonnées bancaires. Pourtant, ces garde-fous n’ont jamais été véritablement appliqués.
⏳ Jusqu’où tolérerez-vous d’être piraté ?
CTI ZATAZ – Scannez les menaces vous concernant avant qu’il ne soit trop tard.
Confidentiel. Instantané. Sécurisé. Zéro intermédiaire. 100 % Made in France.
En janvier 2023, le service des comptes fournisseurs a été transféré du département Finances au Bureau du Contrôleur. À cette occasion, plusieurs pratiques correctives identifiées après les incidents précédents n’ont pas été « institutionnalisées ». Les équipes se sont concentrées sur la continuité opérationnelle, au détriment de la rigueur dans la gestion des tiers. L’attaque de 2025 s’inscrit donc dans une continuité de vulnérabilités connues mais négligées.
Cette répétition interroge sur la culture organisationnelle de la mairie. La cybersécurité n’est pas seulement une affaire de technologie : elle dépend des processus internes et de la discipline dans leur application. Dans le cas de Baltimore, les erreurs ne résultent pas d’un manque d’outils mais d’un défaut de vérification humaine et de suivi managérial.
Mesures correctives et nouveau dispositif de contrôle
Confrontée à l’ampleur de la perte, la municipalité a annoncé une série de correctifs. Le directeur des comptes fournisseurs a confirmé que désormais, chaque demande de modification bancaire sera soumise à une validation croisée par plusieurs agents. Un rôle utilisateur spécifique et restreint a été créé dans Workday pour limiter l’accès aux données sensibles. La ville a également instauré des alertes automatisées et une supervision quotidienne des activités liées aux fournisseurs.
Parallèlement, des règles précises de vérification sont entrées en vigueur. Toute modification de coordonnées bancaires doit désormais être confirmée par téléphone auprès du fournisseur concerné, via un numéro connu et vérifié. Un délai de 48 heures est imposé avant que la modification ne devienne effective, laissant le temps de détecter une fraude éventuelle. Ces nouvelles mesures s’accompagnent d’une formation renforcée des agents contre l’ingénierie sociale, considérée comme la première ligne de défense.
Selon CBS Baltimore, le dispositif comprend aussi un suivi quotidien des changements dans Workday et un système d’alertes destiné à signaler toute activité inhabituelle. L’objectif affiché est de « créer une vigilance continue » là où l’habitude et la routine avaient ouvert la voie aux escroqueries.
Les escroqueries BEC, un fléau mondial
Le cas de Baltimore[10] s’inscrit dans un phénomène bien plus vaste. Les Business Email Compromise constituent aujourd’hui l’une des fraudes numériques les plus coûteuses. En avril 2025, le FBI a estimé que ces escroqueries avaient généré 2,8 milliards $ (2,58 milliards €) de pertes en 2024 aux États-Unis. Contrairement aux attaques par ransomware, elles ne nécessitent pas de code malveillant ni d’intrusion technique. Elles exploitent principalement la psychologie humaine et la confiance organisationnelle.
Les fraudeurs ciblent en priorité les grandes entreprises et les institutions publiques, souvent en jouant sur des demandes de paiement urgentes ou des changements administratifs anodins. Dans un environnement saturé de flux financiers, une simple modification d’IBAN peut passer inaperçue si les procédures de contrôle sont faibles. La dématérialisation croissante des processus administratifs renforce cette vulnérabilité.
Pour les acteurs publics, la menace est double. D’un côté, les escroqueries BEC génèrent une perte financière directe. De l’autre, elles entament la crédibilité institutionnelle, déjà fragilisée par les cyberattaques de type ransomware. Baltimore en a fait l’expérience en 2019 : frappée par un ransomware, la ville avait subi des perturbations massives et un coût estimé à 19 millions US (17,5 M€). La répétition des incidents alimente un doute durable sur la capacité de la municipalité à sécuriser ses opérations numériques.
L’affaire de Baltimore illustre une faille critique : l’absence de discipline dans l’application des contrôles, malgré des signaux répétés. Les escroqueries BEC reposent sur la psychologie et l’organisation plus que sur la technologie. Pour une administration déjà éprouvée par un ransomware en 2019 et par des fraudes répétées en 2019 et 2022, l’enjeu est désormais de transformer les procédures ponctuelles en pratiques durables. La question reste entière : la ville saura-t-elle convertir cette crise en véritable culture de cybersécurité, ou s’expose-t-elle à de nouvelles attaques par simple négligence organisationnelle ?
Rejoignez-nous sur les réseaux sociaux
Aucun spam – Désinscription en un clic – Vie privée respectée
Read more https://www.zataz.com/baltimore-victime-dune-fraude-numerique-a-15-million-de-dollars/
