Des voyages en jets privés vers des îles paradisiaques ou des émirats bling-blings; un étalage indécent de voitures de sport et de Rolls Royce aux couleurs inédites; des sacs Hermès, des sacs Vuitton, des montres maousses en or massif et diamants géants, des vêtements qui coûtent cinq fois nos salaires; des amitiés platinées avec des stars nigériennes ou des footballeurs professionnels britanniques.
C'est sur cette profusion d'argent et de sa dilapidation quelque peu obscène que Ramon Abbas pour l'état civil, Ray Hushpuppi, @hushpuppi, Hush ou le «Billionaire Gucci Master» pour ses 2,5 millions d'abonnés sur Instagram, a bâti sa légende. Mais d'où tirait-il cette indécente fortune?
Non de son travail acharné sur cinq continents ni de partenariats rémunérateurs avec des marques désireuses de s'attacher l'image clinquante du garçon. Mais, comme le rappelle Bloomberg dans un long article consacré à sa saga puis à sa chute, à la maîtrise consommée d'un type d'arnaque plus commun qu'on ne le croît et qui lui a rapporté des centaines de millions de dollars: le «business email compromise», ou BEC.
En surface, le principe est simple mais peut rapporter gros –en l'occurrence très gros. Pour une raison X ou Y, une firme tout ce qu'il y a de plus légale doit verser une importante somme d'argent tout ce qu'il y a de plus légale à une autre entreprise tout ce qu'il y a de plus légale.
Mais au moment précis où la transaction doit se faire, un acteur tiers s'insère dans les communications entre le payeur et le récipiendaire, se grime en intermédiaire légitime et donne des détails apparemment solides sur la destination finale de l'argent.
Sans méfiance, le transfert est effectué et abracadabra: des centaines de milliers de dollars atterrissent sur un compte lambda, avant de s'évaporer dans la nature. Malgré l'importance des sommes en jeu, le nombre des transactions entre entreprises est tel qu'il faut parfois plusieurs semaines voire des mois pour que l'une ou l'autre des firmes impliquées ne se rende compte que quelque chose cloche.
En surface, le principe est simple. Dans les faits pourtant, sa réalité est bien plus complexe à mettre en œuvre: il faut un travail de longue haleine aux arnaqueurs pour préparer le terrain.
L'aventure commence généralement par un bon vieux phishing: Ramon Abbas ou l'un de ses complices devaient, par des techniques classiques mais élaborées, réussir à s'emparer de l'identifiant et du mot de passe d'un clerc quelconque.
Jeu de rôles
Le but n'est pas d'agir tout de suite mais de s'informer, scruter en coulisse les échanges de courriels, comprendre précisément les transactions en cours, savoir d'où elles émanent et où elles vont, connaître presque intimement les personnes impliquées.
Le «business email compromise» est donc un jeu de dupe, un jeu de rôle dans lequel un ou des arnaqueurs endossent la personnalité d'une entité légale et imitent des documents comptables (facture, reçu) pour pousser quelqu'un à transférer, de son propre chef et sans l'ombre d'un doute, d'importantes sommes d'argent.
Selon le FBI, près de 20.000 de ces attaques de velours auraient eu lieu en 2020, pour une somme totale de 1,8 milliard de dollars (1,5 milliard d'euros), dont une partie est donc allée dans les poches de Hushpuppi pour l'entretien de son luxueux compte Instagram.
Ses complices en ont aussi bénéficié: de l'expert en phishing au maître comptable de l'ombre, ces opérations peu connues du grand public malgré leur impact (40% de la fraude par internet aux États-Unis, selon les chiffres repris par Bloomberg) nécessitent une solide chaîne d'acteurs spécialisés.
L'une des raisons invoquées par le média pour cette relative discrétion publique des BEC est l'humiliation que de tels pièges constituent pour leurs victimes. Logique: une firme comptable qui se fait subtiliser les centaines de milliers de dollars de l'un de ses clients préfèrera éviter toute publicité autour de cette lamentable captation.
Mais toutes les belles choses ont une fin, en particulier lorsqu'elles sont si crapuleuses et si ostentatoires. Après une longue enquête et une analyse poussée de ses communications avec ses complices, le FBI a fini par mettre la main au collet d'Abbas, arrêté dans la nuit du 8 juin 2020 par une équipe du SWAT de Dubaï dans son appartement hyper-luxueux.
Hyper-luxueux, il pouvait l'être sans peine: la recension des crimes d'Abbas est une impressionnante liste de méfaits à gros millions. Selon le FBI, Hush et ses complices, qui entretenaient dit-on des liens avec le crime nord-coréen, auraient directement subtilisé ou aidé à blanchir «des dizaines, parfois des centaines de millions de dollars, fruit de transactions frauduleuses ou d'intrusions informatiques, incluant une tentative de voler 100 millions de livres sterling à un club de football de la Premier League anglaise.»
