Bercy relativise le piratage visant les comptes de 2 000 contribuables

Cybercy 142
En bref
image dediée
Crédits : Crobard/iStock
Securité
Marc Rees

« Piratage à Bercy : des milliers de feuilles d’impôts trafiquées ». Cet article en une du Canard Enchaîné de la semaine a fait réagir les services fiscaux. Par communiqué, la DGFIP, direction des finances publiques, relativise l’incident.

Selon l’hebdomadaire satirique, plus de 2 000 contribuables ont eu quelques déconvenues avec leur dossier fiscal, fin juin. Concrètement, des malintentionnés ont tout simplement eu accès à leur boîte mail. De là, ils ont demandé au site des impôts de communiquer par courriel l’identifiant exigé à l’accès, afin de générer un nouveau mot de passe.

« Après quoi, [les pirates] ont modifié leurs déclarations d’impôts », poursuit le journal. « Le plus souvent, il s’agissait du formulaire 2042-RICI qui permet de déclarer les crédits et réductions d’impôts dont peut bénéficier un contribuable, et qui doivent donc lui être remboursés par le fisc ». 

« L'adresse mail est la clé d'entrée indispensable pour accéder à de nombreux services en ligne de sites administratifs ou de la sphère privée. C'est pourquoi il convient de bien sécuriser son accès afin qu'un pirate ne puisse pas accéder à vos données personnelles et ainsi réaliser des opérations à votre insu », réagit la DGFIP.

Plusieurs mesures en réaction

Bercy confirme donc cet incident, mais relativise en expliquant que cette faille concerne les comptes de messagerie personnelle des contribuables, non ses propres infrastructures. « Aucun piratage à Bercy mais des boites mails perso chez quelques opérateurs. Pas de milliers de feuilles d'impôts trafiquées mais 2 000 comptes sur lesquels il y a eu des tentatives. La DGFiP a réagi très vite, aucun impact fiscal n'est à signaler » signale ce tweet du compte officiel de l'administration fiscale.

La direction indique au passage que trois mesures ont été prises.

D’un, les comptes, victimes, ont été bloqués et les usagers pris en main par les services « via un dispositif personnalisé (courrier, téléphone, accueil physique) ». De deux, les différents opérateurs, les fournisseurs de boites mail et la CNIL ont tous été alertés. Enfin, une plainte a été déposée. 

Selon le Code pénal, le fait d’accéder frauduleusement dans un système informatique, pour y supprimer ou modifier des données, est déjà puni en principe de trois ans d'emprisonnement et de 100 000 € d'amende. Lorsque le système est mis en œuvre par l’État, comme ici, alors ces peines sont portées à cinq ans d'emprisonnement et à 150 000 € d'amende. 

« Dans un souci permanent de mise à jour des normes de sécurité, des évolutions respectant les normes européennes et le règlement général sur la protection des données (RGPD) sont d'ores et déjà prévues » ajoute la DGFIP, plus d’un an après l’entrée en application du fameux texte.

Biométrie et double facteur

Ainsi, « l'ajout d'une question secrète supplémentaire » est programmé pour fin août. Bercy envisage aussi d’autres mesures comme « l'envoi d'un code par SMS », voire « l'application d'un système biométrique comme le suggère l'UE pour mieux sécuriser les achats sur internet ». C’est là où le  décret ALICEM devrait jouer à plein régime. Seul hic, il est attaqué par la Quadrature du Net au Conseil d’État – l’association, armée des critiques de la CNIL, contestant l’absence d’alternative à ce système biométrique.

En attendant, la CNIL avait elle-même relevé que « basée sur la gestion d’un secret, l’authentification par identifiant et mot de passe est un moyen simple et peu coûteux à déployer pour contrôler un accès ». Néanmoins, précise-t-elle dans ce communiqué de 2018, « cette méthode d’authentification présente un niveau de sécurité faible ». Dans une délibération publiée un an plus tôt, elle soulignait avoir « toujours considéré que d'autres moyens offrent davantage de sécurité, comme par exemple l'authentification à double facteur ».


chargement
Chargement des commentaires...