Aller au contenu
← Retour à l'outil

Phishing et fausses factures avec XRechnung et ZUGFeRD

Les fausses factures envoyées par e-mail ne sont pas un problème nouveau. Ce qui est nouveau, c'est que les factures sont aujourd'hui de plus en plus envoyées sous forme de factures électroniques structurées, par exemple en XRechnung ou en ZUGFeRD. D'après l'état actuel des recherches, il n'existe certes pas de série de cas officiels largement documentés portant spécifiquement sur le phishing avec XRechnung ou ZUGFeRD. Cela ne rend pas le sujet inoffensif pour autant : le phishing à la facture est un mode d'attaque établi depuis des années. Les factures électroniques structurées aident à vérifier, car leurs données se comparent plus facilement à vos propres documents. Mais un format, à lui seul, ne prouve jamais qu'une facture est authentique.

Comment réagir face à une e-facture suspecte

Si vous avez un doute, une procédure fixe aide. Elle permet de séparer clairement la vraisemblance, le type de fichier et la vérification du contenu :

  1. 1. Vérifiez d'abord la vraisemblance. Regardez l'ensemble du contexte : le fournisseur correspond-il, l'opération correspond-elle, le moment est-il cohérent ? Vérifiez soigneusement l'adresse e-mail de l'expéditeur, surtout le domaine et pas seulement le nom affiché. Important : même une adresse d'expéditeur plausible ne prouve pas l'authenticité, car les expéditeurs d'e-mails peuvent être falsifiés.
  2. 2. La facture était-elle attendue ? Si ce n'est pas le cas, n'ouvrez pas et ne téléchargez pas la pièce jointe. En cas de doute, l'examen peut déjà s'arrêter ici : contactez directement le fournisseur via un canal connu et indépendant, et non en répondant au même e-mail.
  3. 3. Si l'e-mail paraît plausible : vérifiez l'extension du fichier. Un .pdf est généralement sûr à ouvrir. Vous pouvez télécharger un .xml, mais ne l'ouvrez pas par double-clic, car un XML brut est difficile à lire. Chargez plutôt le fichier sur digital-rechnung.de ou dans un autre visualiseur de confiance. Vous trouverez ici comment vérifier si un service externe traite vos données avec soin : Ouvrir des factures en toute sécurité avec d'autres services. Soyez prudent avec les fichiers .exe, .bat, .zip, .rar et les doubles extensions comme Facture.pdf.exe.
  4. 4. Comparez le contenu XML avec vos données connues. Vérifiez si l'IBAN est déjà connu pour cet expéditeur, si le numéro de facture, la référence de commande et le montant correspondent à vos documents, et si le destinataire de la facture est le bon. Mais : un IBAN connu, à lui seul, ne suffit pas. Dans certains cas limites, un attaquant pourrait utiliser un IBAN réel et connu, par exemple celui d'une banque dont vous recevez régulièrement des factures, et ne manipuler que la référence pour que le paiement profite à son compte. Si l'IBAN est correct, mais que la référence semble inconnue ou incohérente : demandez confirmation.
  5. 5. En cas de doute, posez de nouveau la question via un canal sûr. Si quelque chose reste flou, contactez directement le fournisseur, là encore sans répondre au message suspect, mais en utilisant un moyen de contact connu et indépendant.

Les cas largement documentés impliquant spécifiquement XRechnung ou ZUGFeRD ont jusqu'à présent été très peu analysés publiquement. Toute personne qui distingue déjà clairement les étapes de vérification de ces factures se prépare à un problème qui devrait devenir plus visible avec la diffusion des e-factures.

Quel est le vrai problème avec les e-factures ?

Le problème n'est pas XRechnung ou ZUGFeRD en soi. Le problème est la combinaison de l'e-mail, de la pression sociale et de données de paiement manipulées. Une facture peut sembler formellement correcte tout en renvoyant vers un mauvais IBAN, une référence de commande incohérente ou un contexte inventé.

Le BSI indique que les prétendues factures reçues par e-mail peuvent apparaître aussi bien sous forme de pièce jointe que de lien. Dans ses documents sur les messages frauduleux et dans le contexte NoPhish, SECUSO recommande de vérifier la plausibilité de l'expéditeur, des pièces jointes, des liens et de l'ensemble du contenu du message, et de ne pas se laisser pousser à agir par l'urgence. En complément, le BSI décrit les idées reçues typiques sur la sécurité des e-mails.

Champs XML : un outil de comparaison, pas une preuve

Une erreur fréquente consiste à penser que si les champs XML paraissent plausibles, la facture doit être authentique. C'est faux. Celui qui falsifie l'expéditeur d'un e-mail et crée la facture contrôle aussi tous les champs XML. IBAN, numéro de facture, fournisseur, référence acheteur ou référence de commande peuvent être renseignés librement.

L'utilité du XML est donc ailleurs : il permet de comparer des données structurées avec vos propres documents. L'IBAN, le montant, le numéro de facture, l'interlocuteur ou les numéros de commande connus correspondent-ils à vos opérations ? C'est précisément là que le XML est utile. Mais ces champs sont seulement un instrument de comparaison, pas une preuve d'authenticité.

Avec ZUGFeRD, le PDF visible et le XML embarqué doivent aussi correspondre sur le fond. S'ils contiennent des informations différentes, c'est un signal d'alerte clair. Pour les pouvoirs adjudicateurs publics, la Leitweg-ID est un champ important à vérifier, mais là encore seulement comme indice de plausibilité.

Comment digital-rechnung.de aide

digital-rechnung.de rend directement visible dans le navigateur le contenu d'un fichier XRechnung ou ZUGFeRD. Cela ne valide pas un expéditeur d'e-mail, mais rend rapidement les données de facture lisibles : par exemple l'IBAN, l'émetteur, le destinataire, le numéro de facture, les montants, l'échéance et les références.

C'est particulièrement utile en cas de doute, car vous pouvez comparer rapidement les données structurées à vos données de base, vos commandes ou vos factures précédentes.

Si quelque chose s'est déjà produit

Si quelque chose vous est déjà arrivé : ces attaques sont souvent menées de manière très professionnelle. Elles paraissent crédibles, arrivent au bon moment et touchent aussi des personnes qui sont habituellement très prudentes. Tout le monde peut se faire piéger, quelle que soit son expérience ou son niveau technique. Ce n'est pas un échec personnel.

Ce qui compte alors, c'est d'agir vite et sans honte. Parlez directement à votre administrateur informatique ou à votre prestataire IT et dites simplement ce qui s'est passé. Ces personnes sont là pour ce type de situation. Si de l'argent a été viré vers un mauvais IBAN, appelez immédiatement votre banque, car le délai pour une récupération éventuelle est court. Rester silencieux trop longtemps par honte rend souvent la situation plus difficile et plus coûteuse.

Questions fréquentes

Existe-t-il déjà des cas avérés de phishing impliquant spécifiquement XRechnung ou ZUGFeRD ?

D'après l'état des recherches au 12 mars 2026, les sources officielles et proches des standards ne montrent aucune série de cas largement documentée concernant spécifiquement le phishing avec XRechnung ou ZUGFeRD. Il s'agit d'une évaluation fondée sur les recherches, pas d'une preuve que de tels cas ne peuvent pas exister. En revanche, le phishing à la facture par e-mail est clairement établi.

Puis-je reconnaître une fausse facture grâce au XML ?

Pas de façon fiable. Celui qui vous envoie une fausse facture contrôle aussi tous les champs XML et peut les remplir avec des valeurs plausibles. Le XML sert donc surtout à comparer la facture avec vos propres données, pas à prouver son authenticité.

Un fichier XML est-il sûr à ouvrir ?

Comparé à des fichiers exécutables, un fichier .xml est généralement moins critique. Malgré cela, il ne faut pas l'ouvrir par double-clic, mais le vérifier dans un visualiseur de confiance. Si la facture n'était pas attendue, le téléchargement n'est déjà pas la première étape.

Quel est un champ important à vérifier pour les pouvoirs adjudicateurs publics ?

La référence acheteur, c'est-à-dire la Leitweg-ID. Les informations officielles de la Fédération la citent comme champ central pour l'affectation de la facture. Si elle manque ou ne correspond pas, la facture n'est pas plausible. Mais une Leitweg-ID correcte ne prouve pas non plus l'authenticité.

Que faut-il vérifier en plus avec ZUGFeRD ?

Il faut vérifier que le PDF visible et le XML embarqué correspondent sur le fond. ZUGFeRD est un format hybride. Si les deux parties divergent, par exemple sur l'IBAN, les montants ou les numéros de facture, la facture ne doit pas être validée tant que la contradiction n'est pas clarifiée.

Regarder l'IBAN dans le XML suffit-il ?

Comparer un IBAN connu dans le XML avec vos données de base est une bonne première étape et renforce nettement la plausibilité. Mais ce n'est pas une garantie. Dans certains cas limites, un attaquant pourrait utiliser un IBAN réel et connu et ne manipuler que la référence ou le motif du virement pour que le paiement soit mal affecté. Vérifiez donc ensemble l'IBAN, le montant et la référence. Si la référence ou le motif du virement ne correspond pas à votre opération connue, mieux vaut redemander.

Un PDF est-il toujours sans danger ?

Comparé à des fichiers exécutables, un PDF est généralement sûr à ouvrir. Mais cela répond seulement à la question du type de fichier, pas à celle de l'authenticité de la facture. Un PDF peut lui aussi contenir de fausses coordonnées bancaires ou un contexte manipulé.

Vérifier une e-facture → digital-rechnung.de

Vérifier maintenant XRechnung ou ZUGFeRD →