Piratage aux impôts : vos données sont-elles vraiment en danger et comment les protéger ?

par Cédric INGRAND
Publié le 21 août 2019 à 13h08, mis à jour le 21 août 2019 à 13h17

Source : TF1 Info

HACKING - Des tentatives d'accès frauduleux aux comptes fiscaux de milliers de contribuables ont été détectées par les services de Bercy. Impots.gouv.fr est probablement le site le plus sûr de l'administration mais aussi celui qui concentre l'essentiel des tentatives d'escroquerie. LCI.fr dissèque l'affaire, pour comprendre comment mieux protéger vos données.

Si l'on en croit nos confrères du Canard Enchaîné paru ce mercredi 21 août, le site web des impôts aurait été victime d'un piratage, massif, mettant en jeu les données de 2.000 contribuables. À y regarder de plus près, le détail est plus complexe et pointe vers des failles de sécurité qui mettent leurs victimes en danger bien au-delà de leur seul compte fiscal.

1 - Que s'est-il réellement passé ?

Dans un article de son édition de cette semaine, l'hebdomadaire satirique rapporte la modification de milliers de déclarations de revenus en ligne. En effet, depuis le 7 Août dernier, les contribuables peuvent aller corriger leur dernière déclaration, et c'est bien ce qui semble avoir été fait sur quelques unes, où des charges ou déductions auraient été modifiées ou ajoutées. Des accès frauduleux et de nombreuses tentatives que Bercy explique avoir détecté à temps dans le tweet ci-dessous.

En fait, ce ne sont pas les comptes fiscaux visés qui étaient vulnérables mais l'accès aux comptes mail de leurs utilisateurs. Quiconque arrive à prendre le contrôle de votre mail peut en effet l'utiliser pour demander à changer le mot de passe de tous les services qui y sont rattachés. Quand vous cliquez sur un lien "J'ai oublié mon mot de passe", c'est à votre adresse mail qu'un nouvel identifiant est envoyé, ou un lien de changement de mot de passe. Muni d'un accès à votre mail, un intrus peut alors accéder à l'essentiel de vos comptes sur des sites de commerce en ligne, vos comptes bancaires, et tous les autres ou presque, s'ils n'utilisent pas de moyen de sécurisation supplémentaire. 

2 - Le site des impôts est-il bien protégé ?

Du fait de sa grande visibilité, des dizaines de millions de comptes fiscaux qu'il héberge et des données privées qui lui sont confiées, Impots.gouv.fr est en effet le plus sensible des sites web publics de l'administration française. C'est aussi le plus visité, et -en toute logique- celui sur lequel il a probablement été le plus investi. Deux enjeux principaux : la fiabilité, il faut que le site soit toujours disponible même lors des grands pics de déclaration en ligne, mais aussi la sécurité. De fait, il n'y a pas d'exemple récent de fuite de données ou de piratage massif dont le site aurait été victime.

Revers de la médaille : du fait de sa visibilité, Impots.gouv.fr est l'objet d'innombrables tentatives de fraudes, qui ne s'en prennent pas directement au site mais plutôt à leurs usagers. Des campagnes de phishing visant à récupérer leurs identifiants, spams se faisant passer pour un mail des impôts qui vous annoncerait un remboursement inattendu, mais cacherait une escroquerie, Bercy concentre la créativité d'escrocs en tous genres.

Ces tentatives de fraude sont un sujet récurrent pour les informaticiens des Finances publiques. Sur son compte @dgfip_officiel, Bercy publie régulièrement avertissements et conseils aux contribuables, pour les enjoindre à mieux protéger leur compte et afficher par le menu les exemples des arnaques les plus courantes.

3 - Comment protéger mon compte fiscal en ligne ?

Dans l'essentiel des cas, la pierre angulaire de la sécurité de vos comptes en ligne est le mail. Le plus souvent, pour prendre la main sur un compte mail, les pirates iront chercher des listes de comptes qui auraient fuité, des bases de données librement accessibles en ligne. Si votre adresse mail s'y trouve, le mot de passe chiffré s'y rattachant y sera aussi. Et si vous utilisez le même mot de passe sur plusieurs sites, surtout si celui de votre mail est commun à d'autres services, c'est bien ce compte-clé qui deviendra vulnérable. A minima, votre compte mail doit donc être sécurisé par un mot de passe unique, et assez complexe pour ne pas être deviné, en utilisant par exemple une combinaison de minuscules, majuscules, et chiffres. S'il est efficace, vous n'aurez pas besoin d'en changer.

De son côté, Bercy compte améliorer la sécurité du site des impôts, en ajoutant une étape à chaque demande de changement de mot de passe, par exemple par le biais d'une "question secrète" dont vous seul connaîtriez la réponse ou en envoyant un SMS de confirmation vers votre mobile, pour vérifier que c'est bien vous et vous seul qui tentez d'accéder à votre compte. Pour l'avenir, la DGFip réfléchit aussi à ajouter une authentification biométrique pour sécuriser l'accès au site. comme le permettrait par exemple une future carte d'identité numérique.


Cédric INGRAND

Tout
TF1 Info