En juin, les comptes fiscaux de plus de 2 000 contribuables ont été piratés, a annoncé le « Canard enchaîné » qui rapporte une information de la Direction générale des finances publiques (DGFiP). Il a suffi aux hackers d’accéder aux boîtes mail mal protégées des contribuables pour obtenir le sésame. Selon la DGFiP, cette cyberattaque a été sans conséquences.
La cyberattaque n’avait pas un but financier
Des hackeurs, non encore identifiés, ont réussi à pirater fin juin environ 2 000 comptes fiscaux de contribuables pour modifier leurs déclarations d’impôts, a déclaré mardi 20 août la Direction générale des Finances publiques (DGFiP), relayée par le « Canard enchaîné » dans son numéro à paraître ce mercredi. Selon le quotidien, les pirates ont le plus souvent ajouté des crédits et réductions d’impôts aux déclarations de leurs victimes. Ils ont également remplacé leurs coordonnées bancaires par d’autres, entièrement fictives. La Direction générale des Finances publiques (DGFiP) précise toutefois que ces intrusions ont été rapidement bloquées et n’ont pas eu de conséquences. D’ailleurs, ajoute-t-elle, il ne s’agissait pas d’une volonté de se faire de l’argent car « chez nous il n’y a rien à voler ». Mais la direction des impôts se dit une « victime collatérale ».
« On entre dans les ordinateurs de la DGFiP comme dans un moulin »
Un agent de la DGFiP a expliqué à l’AFP, que le piratage a concerné les boîtes mail mal protégées par des mots de passe trop simples, et dont les hackers avaient facilement pris le contrôle. En effet, le contribuable ayant perdu son identifiant fiscal à 13 chiffres peut se le faire renvoyer par mail, permettant l’intrusion. Les hackers utilisaient ensuite ces mots de passe pour se balader dans les comptes fiscaux et faire ce que bon leur semblait. La DGFiP a ainsi constaté « une vague inhabituelle de renouvellement de mots de passe de plusieurs espaces particuliers sur impots.gouv.fr », d’après un communiqué de Bercy. La facilité avec laquelle les hackers ont piraté les comptes fiscaux dans une importante structure comme la DGFiP a fait écrire au « Canard enchaîné » qu’« On entre dans les ordinateurs de la DGFiP comme dans un moulin ».
Comme le piratage n’a concerné qu’environ 2 000 des quelque 31 millions de comptes fiscaux en ligne, les agents du fisc ont pu rapidement bloquer les comptes affectés. Ils ont ensuite pris le soin d’appeler en une seule journée les victimes par téléphone afin de réinitialiser leur compte, après s’être assurés qu’elles avaient repris le contrôle de leur boîte mail. N’ayant pas pu joindre tout le monde au téléphone, les agents ont adressé un courrier postal aux victimes restantes.
Des mesures de sécurité annoncées
Pour prévenir la répétition de ce type d’incidents, la DGFiP, qui a informé les fournisseurs de boîtes mail et a porté plainte, appelle les contribuables à bien sécuriser leur service de courrier électronique, notamment par les mots de passe complexes. Aussi, le fisc va-t-il renforcer dès la fin août l’accès à son site : les contribuables devront donner leur date de naissance afin d’accéder à leur espace personnel. A plus long terme, la DGFiP prévoit « l’envoi d’un code par SMS ou l’application d’un système biométrique comme le suggère l’UE ». Enfin, elle met en garde les contribuables contre « les tentatives de fraude à la carte bancaire via la promesse d’un remboursement d’impôts par courriel » ou des appels invitant à rappeler un numéro surtaxé facturé 5 euros la minute, soi-disant pour éviter une sanction.