MoneyGram, le service de transfert d’argent concurrent de Western Union, vient de se voir infliger une amende record de 100 millions de dollars par la justice américaine. Celle-ci lui reproche d’être complice des arnaques qui pullulent sur le web  – souvent malgré lui et via des agents véreux.

Les méthodes d’arnaques sur le web sont légion : escroquerie à l’achat / vente d’objets sur des sites d’enchères, fausses promesses de gains, fausses loteries, intrusions informatiques sur des systèmes de paie d’entreprise, blanchiment d’argent volé au travers des mules… Mais toutes ont pour point commun le procédé d’exfiltration de l’argent : MoneyGram ou Western Union. Car lorsqu’elle paie par MoneyGram ou Western Union, la victime d’une escroquerie web ne dispose plus d’aucun recours : l’argent est mis à la disposition du destinataire (souvent à l’autre bout du monde) et il disparaît définitivement sans pouvoir être tracé.

Outre l’amende, MoneyGram a reconnu sa responsabilité indirecte dans ce type de fraudes. L’analyse des causes menée en interne par l’entreprise offre un éclairage intéressant sur les luttes intestines entre les ventes et la SSI. Selon Brian Krebs, de Krebs on Security, la cellule anti-fraude avait dès 2003 identifié à plusieurs reprises des agents véreux et demandé leur renvoi. Mais la procédure était systématiquement bloquée par des cadres de la direction des ventes. Et pour cause : MoneyGram touche évidemment une commission sur chaque envoi d’argent, et certains cadres commerciaux indélicats peuvent alors être tentés de fermer les yeux sur ces arnaques – dont les montants s’élèvent à plusieurs millions de dollars chaque année – afin d’améliorer leurs chiffres. Le tout sans se mouiller directement puisque les coupables sont des agents indélicats, le plus souvent employés dans des bureaux lointains.

La société a accepté de mettre en oeuvre une série de mesures destinées à améliorer la fiabilité de ses processus. Point intéressant : au delà de solutions techniques ce sont avant tout des approches RH, des sanctions financières et un renforcement du contrôle de conformité qui ont été mis en oeuvre (source : Krebs on Security) :

• Création d’un comité d’éthique et de conformité au sein du comité de direction avec autorité sur le Chief Compliance Officer
• Création d’un nouveau système de bonus pour les cadres, indexé sur leur capacité à (faire) respecter les obligations réglementaires. A défaut tous les bonus annuels seront supprimés pour le cadre mal noté
• Création d’un programme anti-fraude et anti-blanchiement d’argent : tous les employés de MoneyGram devront respecter à minima les standards américains en la matière
• Création d’une procédure de background check renforcée pour les employés jugés à risque ou ceux travaillant dans des bureaux situés dans des zones à risque (c’est à dire les zones où sont le plus souvent récupérées les sommes provenant des arnaques)

MoneyGram n’est bien entendu pas seul à souffrir de ce fléau : Western Union connaît les mêmes problèmes et a lui aussi subi les foudres de la justice américaine en 2005. La société avait alors mis en place des mesures similaires, en plus d’une solution logicielles de détection des fraudes (ce qui n’empêche pas pour autant Western Union d’être, aujourd’hui encore, très utilisé par les escrocs…)

Des solutions logicielles existent afin d’aider à réduire la fraude (Actimize, notamment, mais aussi EastNets, par exemple). D’autres se focalisent sur la détection des comportements anormaux (PrediSoft) et d’autres encore offrent une gamme d’audits et de solutions intégrées dans plusieurs domaines d’activités (APEX Analytix). Mais leur déploiement n’aurait guère de sens sans une sérieuse remise à plat de l’organisation et des contrôles de la société, notamment sur le plan RH. Après tout la majorité de la fraude provient d’employés indélicats qui ne respectent pas les procédures de remise de l’argent. Dont acte.

Toutefois, si l’on en croit par la poursuite des fraudes de ce type à travers Western Union, ces mesures ne peuvent que réduire, et non éliminer, la fraude. Car ce sont en définitive les utilisateurs qui détiennent la clé en la matière, en suivant justement le conseil de Western Union : ne jamais envoyer d’argent à quelqu’un qu’ils ne connaissent pas personnellement (et, corollaire : s’assurer de l’identité d’un proche qui réclamerait soudainement un envoi d’argent !).

A lire également : « Tout savoir sur les monnaies pirates«