Non, le site impots.gouv.fr n’a pas été "piraté"

Comme le révèle l’édition du 21 août du Canard enchaîné, des centaines de contribuables ont été visés par des hackers fin juin. Au total, des internautes malveillants ont eu accès aux informations et déclarations fiscales de 2000 particuliers, dans le but de déclarer un crédit d’impôt et de modifier les coordonnées bancaires pour obtenir un remboursement.

Une opération rapidement identifiée, et sans conséquence, selon la direction générale des Finances publiques (DGFiP). Les hackers n’ont pas eu besoin d’un lourd savoir-faire en informatique pour accéder à des informations aussi sensibles.

Comme le précise l’administration fiscale dans un communiqué de presse publié ce 20 août, ces intrusions sont liées au piratage de comptes mails, utilisés pour renouveler un mot de passe.

Plutôt que de s’attaquer au site impots.gouv.fr, les hackers sont donc parvenus à prendre le contrôle des boîtes de messagerie de leurs victimes. Ils ont ensuite pu procéder à une réinitialisation du mot de passe pour choisir leur propre code, et se connecter à l’espace personnel de chaque contribuable visé.

Une opération qui permet au passage d'accéder à d'autres services administratifs - comme celui de l'Assurance Maladie - en passant par le portail France Connect.

Pas de faille, mais des lacunes

Ayant détecté "une vague inhabituelle de renouvellement de mots de passe de plusieurs espaces particuliers sur impots.gouv.fr”, la DGFiP affirme avoir bloqué les comptes concernés et contacté chaque victime afin de sécuriser les données. L’administration a par ailleurs informé la Commission nationale de l'informatique et des libertés (CNIL) de la situation et déposé une plainte “auprès des autorités compétentes".

Si les services en ligne de la DGFiP n’ont pas été directement visés, ces intrusions mettent en lumière leurs limites. Comme le rappellent nos confrères de Next INpact, la CNIL estime que la simple authentification par mot de passe "présente un niveau de sécurité faible".

D’autres plateformes, à commencer par celles des grands acteurs du numérique, ont mis en place des options supplémentaires pour protéger ses données. A titre d’exemple, Facebook et Google proposent aux utilisateurs une authentification "à double facteur": en plus de son mot de passe, l’internaute est invité à inscrire un code reçu par SMS pour s’identifier. Une évolution qui figure parmi les projets de la DGFiP, qui ne précise toutefois pas d’échéance pour sa mise en place.

L’accès à une boîte mail n’est pas le seul moyen utilisé par les escrocs. Certains optent pour l’envoi de faux emails - par exemple avec des promesses de remboursements - afin de dérober des informations bancaires. D’autres misent sur une arnaque par téléphone, en se faisant passer pour un employé de l’administration fiscale et en incitant la victime à rappeler un numéro surtaxé.