Contexte de la campagne
Une vague de courriels frauduleux usurpant l’identité visuelle de l’Agefiph cible actuellement les responsables ressources humaines, les directions financières et les services paie d’entreprises soumises à l’OETH. Les messages reproduisent le logo, la charte graphique et la signature de l’Agefiph pour réclamer un paiement urgent ou une régularisation de cotisation.
L’objectif des attaquants est triple : extorquer un virement frauduleux présenté comme une régularisation OETH, dérober les identifiants de connexion à l’espace employeur Agefiph ou net-entreprises.fr, ou installer un logiciel malveillant via une pièce jointe ou un lien.
L’Agefiph rappelle qu’elle ne sollicite jamais de paiement direct par mail. La contribution OETH est exclusivement collectée par l’URSSAF à l’issue de la DSN d’avril, jamais par un courriel comportant un lien de paiement immédiat.
Identifier un mail frauduleux
Plusieurs signaux permettent d’écarter rapidement un courriel suspect, sans avoir besoin d’expertise technique. La présence d’un seul de ces indicateurs suffit à justifier une vérification.
- Adresse expéditeur
- doit se terminer par @agefiph.fr ou @agefiph.asso.fr
- Lien de paiement direct
- jamais légitime, signal d’alerte fort
- Urgence ou menace
- « sous 48 heures », « risque de pénalités »
- Pièce jointe inattendue
- facture, attestation à ouvrir : à proscrire
- Fautes d’orthographe ou tournures
- indicateur classique de phishing
- Demande d’identifiants par mail
- jamais sollicités par l’Agefiph
Risques pour votre entreprise
Un clic sur un lien malveillant peut compromettre les identifiants d’un compte employeur (Agefiph, URSSAF, net-entreprises). L’attaquant peut alors modifier les coordonnées bancaires de remboursement, déposer une fausse déclaration, ou accéder à des données salariales protégées.
Une pièce jointe vérolée peut introduire un rançongiciel sur le poste, avec propagation latérale possible vers le système d’information de paie. Le coût moyen d’un incident cyber pour une entreprise française est supérieur à 50 000 euros, sans compter les obligations de notification à la CNIL en cas de violation de données personnelles.
Réflexes en cas de doute
Ne cliquez sur aucun lien et n’ouvrez aucune pièce jointe. Transférez le courriel suspect au service signal-spam.fr (signalement officiel) puis supprimez-le. En cas de clic effectif, déconnectez immédiatement le poste du réseau et alertez votre service informatique.
Pour toute vérification d’une demande qui semble émaner de l’Agefiph, le canal officiel reste le 0 800 11 10 09 (numéro vert employeurs) ou la connexion directe à agefiph.fr en saisissant l’adresse manuellement dans le navigateur. La plateforme Cybermalveillance.gouv.fr propose un parcours d’assistance gratuit aux victimes de phishing.