C’est dans une enquête du Canard enchaîné parue aujourd’hui que la cyberattaque a été dévoilée. En tout ce sont environ 2000 comptes répertoriés sur le site gouvernemental impots.gouv qui auraient été piratés depuis le début de l’été. Comme le relaie France Info, les hackers se seraient contentés d’ajouter crédits et réductions aux déclarations de leurs victimes, avant de remplacer leurs coordonnées bancaires par des comptes entièrement fictifs. Plus de peur que de mal donc pour en termes de préjudices pour les contribuables. “Il ne s’agissait pas de se faire de l’argent, car chez nous, il n’y a rien à voler”, martèle un agent de la DGFiP à l’AFP.
À noter que si l’attaque semble impressionnante, elle ne concerne pas directement le site des impôts. C’est en effet en piratant les boîtes mail de leurs victimes que les pirates ont réussi à accéder à leurs déclarations de revenus. Une fois l’adresse mail piratée, il suffit ensuite de se faire renvoyer son numéro fiscal par mail, avant de demander un changement de mot de passe, lui aussi modifiable depuis sa boîte mail. Depuis quelques mois déjà, la DGFiP avait vraisemblablement constaté une “vague inhabituelle de renouvellement de mots de passe de plusieurs espaces particuliers” sur le site, comme le révèle un communiqué de Bercy. L’ampleur de l’attaque étant relativement faible, avec 2000 comptes touchés sur 31 millions de comptes actifs, la DGFiP a rapidement été en mesure d’intervenir et de bloquer les comptes en question, avant de contacter directement les victimes. Des mesures de renforcement de la sécurité devraient être mises en place dès la fin du mois d’août, obligeant désormais les contribuables à entrer leur date de naissance avant de pouvoir accéder à leur espace personnel en ligne. D’autres vérifications supplémentaires, comme l’envoi de SMS ou l’utilisation de données biométriques sont également envisagées par Bercy à plus long terme.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
En Belgique, tous les accès aux services publics se font par authentification avec la carte d’identité électronique (lecteur eID et code pin)… un exemple à suivre ?
Comme beaucoup j’ai eu le mail pour la demande du numéro mais comme la majorité je sais faire la distinction entre vrai et fausse demande/arnaque.
A quand une formation obligatoire/gratuite pour éviter les arnaques email…ou au moins une sensibilisation. Faut-il croire qu’il est normal pour notre état voire l’Europe qu’une petite partie de la population se fasse arnaquer continuellement, et ce ne sont pas que les personnes âgées qui se font avoir donc le problème ne se règlera pas dans le temps.
je pense que son coût serait sûrement moindre que l’impact financier sur les foyer sensibles.