Levée de fonds piégée : comment un cybercriminel a tenté d’infiltrer un fonds de capital-risque pendant deux mois
Cyberfiction, notre nouvelle série consacrée à la cybersécurité
Cela aurait pu être la plus belle signature de l’année. Pour ce fonds de capital-risque parisien, les feux étaient au vert : roadshow complet, plusieurs engagements sécurisés, et, en apothéose, l’entrée d’un family office réputé pour ses investissements discrets mais décisifs dans la tech européenne. C’est du moins ce que tout laissait croire.
Chapitre 1 – Le contact
Le mail était tombé un mardi matin, discret, élégant, dans la boîte de Clément, partner dans un fonds de venture basé à Paris.
Objet : « Exploring synergies – BH Partners / Fund name confidential. »
« Bonjour Clément,
Nous suivons avec attention vos activités depuis votre investissement dans [startups X et Y].
Brems & Hall est un family office paneuropéen intéressé par les véhicules early growth.
Seriez-vous disponible pour un premier échange ? »
Le nom ne lui disait rien, mais la formule était habile. Personnalisée. Précise. Ni trop enthousiaste, ni trop froide. Juste ce qu’il fallait pour éveiller l’attention d’un investisseur rompu aux approches opportunistes.
Clément fit une recherche rapide. Un site sobre, fond blanc, police serif. Des mentions de deals co-investis avec des noms connus — difficile de dire s’il s’agissait de coïncidences ou d’illusions bien plantées. Il transfère à Julie, la CTO du fonds :
« Tu peux checker s’il y a un loup ? Sinon on creuse. »
Retour de Julie dans l’heure :
« RAS pour l’instant. Le domaine est jeune, mais propre. L’IP est londonienne, pas de signaux clairs. Tu veux que je surveille les prochains échanges ? »
Clément approuve d’un emoji. Et la première visio est calée.
Chapitre 2: Miroirs sans tain
Le call est parfait. Dans le cadre épuré d’un bureau en verre, un certain Alexander Wells déroule un pitch sur la stratégie de BH Partners. Accent anglais léger. Culture financière solide. Il cite des fonds de qualité, évoque le family governance, parle allocations sectorielles comme un LP aguerri.
« Nous aimons les équipes ambitieuses, mais disciplinées. Votre track record en climate tech et B2B SaaS nous intéresse. On veut du skin in the game. Vous l’avez. »
Le fonds n’est pas dupe. Des centaines de family offices promettent monts et merveilles chaque année.
Mais là, Alexander envoie un deck. Puis un accès à leur « Data Portal ». Un mois passe. Les échanges s’intensifient. Ils sont trois maintenant côté BH : Alexander, Olivia (Head of Legal), et un certain Rupert (Operations). Tous crédibles. Disponibles. Julie scanne les documents. Pas une erreur. Pas une incohérence. Même les headers des PDFs sont propres.
Chapitre 3 – Le fil du rasoir
Les semaines s’enchaînent. On approche du closing. Un wire de 8 millions d’euros est attendu de BH dans la première tranche. Le fonds boucle les derniers KYC. Les avocats préparent la documentation. Clément échange presque quotidiennement avec Alexander.
Puis vient ce vendredi matin.
9h17. Un email court, anodin, presque banal :
« Hi Clément – slight firewall issue this morning. Can we use our Google Meet link for the call at 10:00 CET? Just easier on our side. Thanks! »
Clément lit. Hésite. Clique presque. Puis… il pense à Julie. Par réflexe, il transfère.
« Tu peux checker ce lien visio ? Je veux pas qu’on merde à ce stade. »
Chapitre 4 – L’effraction invisible
Julie n’ouvre pas le lien. Elle l’analyse.
En apparence, c’est une URL classique : meet.google.com/xzz-rsvp-349.
Mais derrière, une redirection en iframe, hébergée via une passerelle ukrainienne, injecte un script silencieux.
« Clément. Ce lien est armé. S’il est cliqué, il installe un .dmg à exécution différée. C’est un malware. Et pas un jouet. »
Le monde s’arrête.
Clément relit tous les messages. Repasse les visios en tête. Les voix. Les sourires.
Ils ont parlé à ces gens pendant neuf semaines.
Ils leur ont envoyé des slides, des cap tables, des term sheets, les noms de LPs confidentiels.
Et à trois minutes près, l’un de leurs ordinateurs aurait été entièrement cloné à distance.
Julie déclenche le protocole d’urgence.
Blocage du domaine. Audit de tous les devices. Notification immédiate aux autres co-investisseurs.
Et ce mail à froid :
« Alexander, our compliance team flagged an anomaly. We need to pause all interactions pending review. »
Il ne recevra jamais de réponse.
Chapitre 5 – Le mirage
Les jours suivants, l’équipe remonte la piste.
Le domaine ? Enregistré au Panama, via un proxy.
Les photos LinkedIn ? Volées à des profils inactifs.
Le numéro de téléphone ? Fournisseur VOIP basé à Singapour.
Les voix lors des visios ? Générées, modifiées en temps réel. Aucun enregistrement ne permet d’en tirer un spectrogramme cohérent.
C’était une opération de haut niveau, montée avec soin.
Pas pour hameçonner un mot de passe.
Mais pour planter un accès système dans la salle des deals d’un fonds gérant plusieurs centaines de millions d’euros.
Épilogue – Le doute comme pare-feu
« Ce qui nous a sauvés ? Une intuition, un clic évité. Un doute, à trois minutes près », dira Clément lors d’un debrief confidentiel avec ses LPs.
Depuis, chaque nouveau contact passe par un triple filtre :
- Identification systématique via tiers indépendants
- Génération des liens internes uniquement
- Aucun lien ou fichier ne transite sans scan
Le fonds a frôlé la catastrophe.
Et dans l’ombre, une certitude demeure :
D’autres ont peut-être cliqué.
- Pourquoi la robotique est (enfin) devenue l’application ultime de l’IA générative - 23/04/2025
- Levée de fonds piégée : comment un cybercriminel a tenté d’infiltrer un fonds de capital-risque pendant deux mois - 23/04/2025
- Hustle Kingdoms : l’industrialisation silencieuse de la cybercriminalité en Afrique de l’Ouest - 23/04/2025
