Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Bercy relativise le piratage visant les comptes de 2 000 contribuables

Cybercy
Internet 3 min
Bercy relativise le piratage visant les comptes de 2 000 contribuables
Crédits : Crobard/iStock

« Piratage à Bercy : des milliers de feuilles d’impôts trafiquées ». Cet article en une du Canard Enchaîné de la semaine a fait réagir les services fiscaux. Par communiqué, la DGFIP, direction des finances publiques, relativise l’incident.

Selon l’hebdomadaire satirique, plus de 2 000 contribuables ont eu quelques déconvenues avec leur dossier fiscal, fin juin. Concrètement, des malintentionnés ont tout simplement eu accès à leur boîte mail. De là, ils ont demandé au site des impôts de communiquer par courriel l’identifiant exigé à l’accès, afin de générer un nouveau mot de passe.

« Après quoi, [les pirates] ont modifié leurs déclarations d’impôts », poursuit le journal. « Le plus souvent, il s’agissait du formulaire 2042-RICI qui permet de déclarer les crédits et réductions d’impôts dont peut bénéficier un contribuable, et qui doivent donc lui être remboursés par le fisc ». 

« L'adresse mail est la clé d'entrée indispensable pour accéder à de nombreux services en ligne de sites administratifs ou de la sphère privée. C'est pourquoi il convient de bien sécuriser son accès afin qu'un pirate ne puisse pas accéder à vos données personnelles et ainsi réaliser des opérations à votre insu », réagit la DGFIP.

Plusieurs mesures en réaction

Bercy confirme donc cet incident, mais relativise en expliquant que cette faille concerne les comptes de messagerie personnelle des contribuables, non ses propres infrastructures. « Aucun piratage à Bercy mais des boites mails perso chez quelques opérateurs. Pas de milliers de feuilles d'impôts trafiquées mais 2 000 comptes sur lesquels il y a eu des tentatives. La DGFiP a réagi très vite, aucun impact fiscal n'est à signaler » signale ce tweet du compte officiel de l'administration fiscale.

La direction indique au passage que trois mesures ont été prises.

D’un, les comptes, victimes, ont été bloqués et les usagers pris en main par les services « via un dispositif personnalisé (courrier, téléphone, accueil physique) ». De deux, les différents opérateurs, les fournisseurs de boites mail et la CNIL ont tous été alertés. Enfin, une plainte a été déposée. 

Selon le Code pénal, le fait d’accéder frauduleusement dans un système informatique, pour y supprimer ou modifier des données, est déjà puni en principe de trois ans d'emprisonnement et de 100 000 € d'amende. Lorsque le système est mis en œuvre par l’État, comme ici, alors ces peines sont portées à cinq ans d'emprisonnement et à 150 000 € d'amende. 

« Dans un souci permanent de mise à jour des normes de sécurité, des évolutions respectant les normes européennes et le règlement général sur la protection des données (RGPD) sont d'ores et déjà prévues » ajoute la DGFIP, plus d’un an après l’entrée en application du fameux texte.

Biométrie et double facteur

Ainsi, « l'ajout d'une question secrète supplémentaire » est programmé pour fin août. Bercy envisage aussi d’autres mesures comme « l'envoi d'un code par SMS », voire « l'application d'un système biométrique comme le suggère l'UE pour mieux sécuriser les achats sur internet ». C’est là où le  décret ALICEM devrait jouer à plein régime. Seul hic, il est attaqué par la Quadrature du Net au Conseil d’État – l’association, armée des critiques de la CNIL, contestant l’absence d’alternative à ce système biométrique.

En attendant, la CNIL avait elle-même relevé que « basée sur la gestion d’un secret, l’authentification par identifiant et mot de passe est un moyen simple et peu coûteux à déployer pour contrôler un accès ». Néanmoins, précise-t-elle dans ce communiqué de 2018, « cette méthode d’authentification présente un niveau de sécurité faible ». Dans une délibération publiée un an plus tôt, elle soulignait avoir « toujours considéré que d'autres moyens offrent davantage de sécurité, comme par exemple l'authentification à double facteur ».

142 commentaires
Avatar de dylem29 Abonné
Avatar de dylem29dylem29- 21/08/19 à 07:57:44

Du coup où est le problème?

Les gens n'ont qu'à sécuriser leurs boites mails, et la DGFIP mettre en place l'authentification double-facteurs.

Avatar de eglyn Abonné
Avatar de eglyneglyn- 21/08/19 à 07:58:03

faut arrêter avec les questions secrètes sérieux...
 
Pourquoi ne pas mettre en place un système à 2 facteurs, avec soit une Yubikey, soit une app style FreeOTP ?

 

Avatar de odoc Abonné
Avatar de odocodoc- 21/08/19 à 08:06:49

C'est l'été, faut bien se mettre un truc sous la dent, une petite polémique ça mange pas de pain :craint:

Avatar de odoc Abonné
Avatar de odocodoc- 21/08/19 à 08:09:26

+1, en plus je sais pas si des études ont été faites là-dessus, mais pour moi les questions secrètes ça facilitent les piratages, vu la quantité d'info perso que laisse trainer les gens sur la toile (+ un peu de social engineering).

Avatar de mmvik INpactien
Avatar de mmvikmmvik- 21/08/19 à 08:12:35

odoc a écrit :

C'est l'été, faut bien se mettre un truc sous la dent, une petite polémique ça mange pas de pain :craint:

+1

Avatar de ColinMaudry Abonné
Avatar de ColinMaudryColinMaudry- 21/08/19 à 08:15:14

+1 pour l'authentification double facteur, avec appli sur le smartphone du style FreeOTP.

Et pour ceux qui n'ont pas de smartphone, avec un SMS (même si c'est moins secure).

Edit : Grillé par eglyn :D

Édité par ColinMaudry le 21/08/2019 à 08:16
Avatar de GrosMatou27 Abonné
Avatar de GrosMatou27GrosMatou27- 21/08/19 à 08:16:02

Avec des questions comme "quel est votre premier employeur?" ou "quelle est le nom de jeune-fille de votre mère?", y'a en effet pas besoin d'aller chercher bien loin...

Avatar de Guinnness INpactien
Avatar de GuinnnessGuinnness- 21/08/19 à 08:23:06

C'est clair, depuis l'explosion des FB et consorts les gens publient toute leur vie sur ces plateformes à la noix, du coup il est très probable que quelqu'un de mal intentionné puisse en apprendre suffisamment sur eux rien qu'à partir de leurs "pages perso"pour arriver à deviner les réponses.

Sinon "le Canard" qui fait du putaclic c'est pas nouveau, c'est un peu leur fond de commerce.

Avatar de M'enfin ! INpactien
Avatar de M'enfin !M'enfin !- 21/08/19 à 08:27:38

dylem29 a écrit :

Du coup où est le problème?

Les gens n'ont qu'à sécuriser leurs boites mails, et la DGFIP mettre en place l'authentification double-facteurs.

Le problème vient que tout le monde ne sait pas sécuriser sa boîte mail et que l'authentification à double facteur n'est pas en place.

Pourquoi tu poses des questions quand tu connais la réponse ?

Avatar de dylem29 Abonné
Avatar de dylem29dylem29- 21/08/19 à 08:30:18

Et donc c'est à la DGFIP de s'occuper des boites mails des gens?
Sécuriser sa boite mail = ne pas donner son mot de passe à n'importe qui, le changer régulièrement et qu'il soit complexe.

Il n'est plus possible de commenter cette actualité.
Page 1 / 15