2 000 contribuables Français piratés en juin ? Piratage du site de l’administration fiscale, phishing ou infiltration plus sournoise ?

Vous avez très certainement dû lire dans la presse, fin juin 2019, l’ « Énorme piratage du site des Impôts, 2 000 contribuables menacés* » ou encore « Des hackeurs ont piraté plus de 2000 comptes de contribuables« . Je passerai le vocabulaire employé. Cette cause est définitivement perdue. Mais pour rappel, un hacker n’est pas un pirate ! Allez donc dire au Dunkerquois que Jean-Bart n’était qu’un vulgaire voleur ; Au Malouin (Saint-Malo) que Surcouf n’était qu’un violeur. Qu’il pillait les villages en Inde. Je pense que vous recevrez une réponse rapide : Corsaire, n’est pas pirate. Pirate, n’est pas hacker.

2 000 contribuables !

Donc, 2 000 contribuables, sur 13 millions, impactés par une modification de leurs données sur le site des impôts. Fichtre ! Seulement ? Cela démontre que les « pirates » travaillaient à la main. Qu’il se lançait dans un troll, très certainement politique. Quoi de plus perturbant pour un état que d’avouer avoir été visé par des pirates. D’autant plus quand cela touche l’argent du contribuable. Bref, les malveillants ont ajouté des crédits et réductions d’impôts aux déclarations : achat de chaudière, double vitrage, volets isolants. Mais comment ?

Qui veut de mes ampoules « laides »

Souvenez-vous, il y a quelques mois. Des sites web légaux, mais aussi des pages malveillantes, ont vu le jour en vous indiquant vous offrir des ampoules LED. Des sites qui surfaient sur les nouvelles réglementations de 2013 et 2018.

Dans le premier cas, depuis le 1er janvier 2013, les ampoules à incandescence ne sont plus disponibles sur le marché.
Dans le second cas, 1er septembre 2018, les ampoules halogènes sont retirées des marchés européens. Elles doivent être remplacées par des ampoules led et FLC. Inconvénient, elles sont plus chères.

Une fausse proposition, toujours active au mois d’août 2019.

C’est ici que sont apparus ces nombreux sites promettant de vous offrir des ampoules LED. 2, 5, 10, 25 … Ils réclamaient des informations telles que les données fiscales dont le numéro à 13 chiffres de l’identification fiscale, … Autant dire que si la sécurité des sites n’était pas optimum, les bases de données et les infos des demandeurs étaient accessibles.

Pour les portails malveillants, la question ne se pose même pas ! Cette opération « ampoules led gratuites » avait pour mission d’aider les ménages les plus modestes (les moins biens éduqués sur les questions informatiques et vie privée) mais surtout d’offrir la possibilité aux fournisseurs d’énergie d’engranger des milliers de certificats d’économie d’énergie.

Phishing !

Si vous me suivez sur Twitter, vous devez apercevoir, très souvent, des alertes concernant des phishing en cours.

Des hameçonnages usurpant l’identité de l’administration fiscale afin de collecter vos données. Si certains de ces filoutages sont grossiers, j’ai pu remarquer une forte évolution dans la professionnalisation des courriels et des sites usurpateurs.

⚠Attention, Herisson dans une vague de #phishing en cours ✉aux couleurs de l’administration fiscale ! Heureusement, le vilain ☠m’a laissé son adresse mail 😇 – #cybersecurite @zataz #PlaceHerissonDansUnTitre pic.twitter.com/ZaPqgRkgOy

— Damien Bancal (@Damien_Bancal) August 7, 2019

Cette autre collecte de données personnelles, après les « ampoules gratuites » a pu permettre aux pirates de s’engranger un nombre de victimes potentiel loin d’être négligeable.

Une des cyberattaques du mois d’août 2019. Le nom de domaine pirate étaat malheureusement efficace !

Boutiques pirates

Vos données de contribuables sont-elles dans les mains de pirates ? Certainement si vous avez utilisé le même mot de passe sur l’ensemble des sites web utilisés.

Votre compte webmail est-il sécurisé (Orange, Gmail, …) ? Le mot de passe dans les mains du pirate permettra à ce dernier d’accéder à toutes les informations que vous avez sauvegardées dans votre webmail.

Une vente d’internautes et leur compte sur Service-public.fr

NE LAISSEZ RIEN dans votre boite webmail. Accéder à cet espace permet de connaître vos habitudes personnelles et privées. Les boutiques visitées (la pub), les comptes administratifs (mot de passe, réinitialisation de ce dernier, …), accès à vos contacts (pro, collègues, amis, familles).

Un exemple concret que j’ai pu vous trouver au moment de l’écriture de cet article : 1 994 comptes « service public » vendus par un pirate un peu plus de 7 000€. Le prix montre l’intérêt des contenus.

En conclusion, voilà trois exemples de collectes d’informations possibles. Des collectes qui ont pu permettre l’infiltration des comptes des 2 000 contribuables. Il existe beaucoup d’autres méthodes de collecte, mais ça, c’est une autre histoire. Le Service Veille ZATAZ se charge de les surveiller pour vous.

* http://www.lefigaro.fr/impots/des-hackeurs-ont-pirate-plus-de-2000-comptes-de-contribuables-20190820

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.