« Environ 2 000 comptes » de contribuables ont été piratés sur impots.gouv.fr, comme l’a reconnu hier Bercy suite une publication du Canard enchaîné. L’administration fiscale a rappelé les bonnes pratiques pour faire face au piratage.

Qui a été piraté cet été et quels sont les risques ?

Mardi 20 août, la Direction générale des Finances (Dgfip) est allée aux devants de la révélation, par Le Canard enchaîné, d’un « piratage à Bercy » : « des milliers de feuilles d’impôts trafiquées », comme l’annonce l’hebdomadaire sur la Une de son édition ce mercredi 21 août. En cause : des crédits et réductions rajoutées, et des coordonnées bancaires modifiées. La Dgfip a ainsi immédiatement publié un communiqué reprenant les « bonnes pratiques » de la sécurité informatique, et tenté de rassurer quant à ce « piratage d’adresses mails » : « Des hackers ont piraté des comptes de messagerie personnelle chez plusieurs opérateurs », la boîte mail personnelle d'internautes, donc. Suite à quoi l’administration fiscale a constaté, « le mois dernier », une « vague inhabituelle de renouvellement de mots de passe » de la part de contribuables sur impots.gouv.fr : les hackers ont ainsi profité de l'accès à la boîte mail personnelle des contribuables pour changer le mot de passe de leur « espace particulier » sur le site du fisc.

La Dgfip affirme avoir bloqué l’accès aux 2 000 comptes concernés, en accompagnant les contribuables victimes pour sécuriser à nouveau leur compte impots.gouv.fr, informé les « opérateurs, fournisseurs de boîtes mail et la Cnil », et déposé une plainte. Mot d’ordre du fisc : pas de panique, un agent de la Dgfip indiquant même à l’AFP « chez nous il n’y a rien à voler ». Une citation qui a fait réagir Gerome Billois, expert en cybersécurité au cabinet Wavestone :

La Dgfip lui a alors précisé les propos rapportés par l’AFP étaient un « raccourci du journaliste » : « Le sujet était “avec l’objectif de voler de l’argent” par comparaison avec une CB. Nous prenons cela très au sérieux. » Gerome Billois a acquiescé, en ajoutant toutefois : « La modification du RIB lors des phases de paiement des crédits d’impôts est quand même un vrai risque. »

Sur Twitter, l’administration fiscale a tout de même tenu à rassurer les contribuables en insistant sur le fait que chacun des « 2 000 usagers » victimes ont « été contactés un à un personnellement », et qu’ils ont aujourd’hui pu reprendre la main sur leur boîte mail et leur espace personnel impots.gouv.fr : « Aucun impact fiscal n'est à signaler. »

Comment éviter de se faire pirater sa boîte mail ?

Difficile, à ce stade, de savoir comment les pirates ont piraté les boîtes mail de ces 2 000 usagers (ce qui leur a permis ensuite de changer le mot de passe des impôts). Pour éviter un piratage de boîte mail, le principal conseil est de choisir un mot de passe de bon niveau, avec un mélange de minuscules, majuscules, des chiffres, etc. Certains fournisseurs permettent aussi l'authentification à deux facteurs (le mot de passe + une empreinte, une phrase secrète ou un SMS, par exemple).

Comment reconnaître un faux email du fisc ?

La Dgfip rappelle que l’usurpation d’identité du Trésor public et de ses agents est une pratique courante, constatée « chaque année », en particulier lors des « périodes de grandes échéances » : déclaration de revenus au printemps, réception des avis d’impôt sur le revenu, comme c’est le cas en ce mois d’août, réception d’avis de taxes foncière et d’habitation…

« Le numéro de carte bancaire ne vous est jamais demandé pour le paiement d’un impôt »

La pratique la plus courante : le phishing, ou « hameçonnage » en français. Le « phishing fiscal » peut prendre la forme d’un email où l’administration promet un remboursement d’impôts. « Ces courriers sont des faux », insiste la Dgfip. « L’administration fiscale n’est pas à l’origine de ces envois. Le numéro de carte bancaire ne vous est jamais demandé pour le paiement d’un impôt ou le remboursement d’un crédit d’impôt, ni pour compléter vos coordonnées personnelles par ce biais. »

Si vous recevez ce type de courriel, n’y répondez pas, ne cliquez surtout pas sur l’un des liens figurant dans le message, et supprimez-le. De façon plus générale, il faut se méfier de tout email vous réclamant de saisir des coordonnées bancaires !

Comment reconnaître un faux appel téléphonique du fisc ?

Seconde méthode utilisée de façon récurrente par les fraudeurs : le vishing, ou hameçonnage par téléphone. Le fraudeur « signale par voie téléphonique à l’usager une anomalie sur son dossier fiscal et l’invite, afin d'éviter d'éventuelles sanctions, à rappeler au plus vite un numéro de téléphone surtaxé facturé 5 euros la minute ». La Dgfip n’effectue jamais ce type de demande de cette manière, rappelant par ailleurs que les seuls numéros valables pour les contribuables particuliers sont ceux figurant sur vos avis ou déclarations d’impôts, ou le numéro « Impôts Service » au 0 810 467 687.

Les contacts du fisc pour la sécurité informatique

La Dgfip tient une rubrique « sécurité informatique » où elle liste les points de vigilance et quelques exemples de tentatives de fraude. Par ailleurs, comme pour l’ensemble des tentatives d’escroquerie, Bercy rappelle la possibilité d’effectuer un signalement sur internet-signalement.gouv.fr ou d’obtenir un renseignement par téléphone au 0 805 805 817.

Lire aussi : 5 conseils pour éviter le piratage et les arnaques bancaires