Le piratage informatique de 2 000 comptes de contribuables : quelles en sont les causes ? Quels peuvent être les buts visés ? Quels risques pour l’avenir ? Comment parer ce type d’attaque ?

Article sur le piratage informatique de 2 000 comptes de contribuables que Bercy a vite "étouffé dans l'oeuf" en en "minimisant les effets"...

2
940
Site des impôts hacké par des pirates informatiques

Des hackeurs ont piraté environ 2000 comptes fiscaux de contribuables et modifié leurs déclarations d’impôts, en juin dernier, ce qui, selon la Direction Générale des Finances Publiques (DGFIP), est resté sans conséquences.

Quelles sont les cause du piratage du site des impôts ?

Sans conteste, on peut parler d’une certaine « perméabilité » du site officiel www.impots.gouv.fr via son « espace particulier », et via sa « messagerie sécurisée », lesquels ont été visés, ainsi qu’un dispositif de « connexion » insuffisamment  garant de la « sécurité des données » des particuliers.

Pourquoi les hackers se sont attaqués au fisc ?

Les pirates (ou « hackers ») ont souvent ajouté des crédits d’impôt et des réductions d’impôt, aux déclarations piratées : certains contribuables se sont ainsi retrouvés avec des achats de chaudières, de double vitrage ou de volets isolants ajoutés à leurs déclarations d’impôts, ouvrant droit à des réductions d’impôts. Les mêmes pirates ont par ailleurs aussi modifié les coordonnées bancaires des particuliers en cause, étant observé que les nouveaux comptes bancaires mentionnés n’étaient que purement fictifs et ne pouvaient donc pas fonctionner. A partir de là, plusieurs questions peuvent se poser. Une telle attaque relève-t-elle de :

  • « Hackers farceurs », qui n’auraient cherché qu’à « semer un peu la pagaille » dans cette administration de renom, fleuron en matière informatique ?.
  • « Test » de hackers sur un petit « échantillon » (2 000 comptes) afin d’évaluer les éventuelles possibilités d’extension de piratage à tous les comptes répertoriés par Bercy, et les difficultés à contourner ?.
  • Volonté de mettre l’Etat et le Trésor en situation délicate en le forçant à restituer à des millions de contribuables des réductions ou crédits d’impôt indus car auxquels ils n’ont en fait pas droit, puis par « coup double », désorganiser complètement la DGFIP en la contraignant à « notifier » ensuite à des millions de contribuables, la « reprise » de ces réductions et crédits d’impôt, remboursés ou restitués à tort ?
  • Simple « mise en garde » de ces pirates informatiques, dans le but d’informer l’Etat sur la fragilité actuelle de son site web dédié aux impôts et des données qu’il renferme ?

Quels risques pour l’avenir ?

Le piratage s’étant réduit à une partie très réduite des 31 millions de comptes fiscaux « en ligne », les agents du fisc ont bloqué les comptes impactés et ils les ont réinitialisé, informant par courriers ou appels leurs détenteurs.

Le risque le plus grave reste cependant celui d’un « vol massif de données fiscales », lesquelles sont par nature sensibles, voire très sensibles, s’agissant de certains contribuables.

Comment parer ce type d’attaque informatique ?

Cette question n’est pas sans rappeler la fragilité des systèmes de stockage, traitement de masse, échanges de données « personnelles » en ligne ou par d’autres voies, dans d’autres services de l’Administration en général, comme c’est le cas, découvert récemment, des comptes de la Sécurité sociale dans lesquels sont répertoriés un peu plus de 17 millions d’assurés sociaux « de trop », par rapport à ce que compte la France d’affiliés à la Sécurité sociale !

Ces 17 millions d’assurés « de trop » n’ont – il faut le présumer – pas été sciemment et volontairement ajoutés aux fichiers par cette administration ! Ils ne s’y sont pas pour autant inscrits « tout seuls » ! Il a bien fallu par conséquent qu’une « faille informatique » se soit produite dans un ou plusieurs maillons de la chaîne informatisée des « données personnelles » des affiliés à la Sécurité sociale, et qu’elle ait été exploitée !

Il serait intéressant, à ces égards, de connaître le point de vue de la CNIL, Commission Nationale Informatique et Libertés !

S’agissant du piratage des comptes de Bercy, les premières constatations semblent accuser un accès trop simple à « l’espace particulier » du contribuable, et une fragilité des boîtes mail associées. Comme toutes les boîtes mail, celles-ci sont souvent (relativement) « protégées » par des mots de passe beaucoup trop simples (parce que tout bêtement mais logiquement plus facilement « mémorisables »), qui sont pour les pirates informatiques un « jeu d’enfant » à « cracker », ou encore des mots de passe pas « suffisamment souvent modifiés ».

Il est également apparu que c’est par le biais de ces boîtes mail mal protégées que se sont introduits les hackers, à la faveur de nombreuses de demandes de renvoi de leur identifiant fiscal à 13 chiffres, « perdu » par les contribuables, lequel leur a été renvoyé par mail ! Pouvant « cracker » aisément les mots de passe-mails des contribuables, les coupables ont pu récupérer les informations d’accès à chaque « espace particulier » concerné et aux services en ligne.

Plusieurs moyens de sécurisation supplémentaire existent déjà – certes un peu plus contraignants – et les équipes techniques de Bercy en mettront sans doute en œuvre certains. Il en est ainsi par exemple de l’envoi d’un « code à durée éphémère » par SMS au contribuable, afin de s’assurer qu’il s’agit bien de lui, ou encore de demander, dans son « compte » sur le site web, à chaque contribuable, de renseigner de nouvelles rubriques comme, les prénoms de leur père ou mère, leur lieu de naissance, ou encore leur date de naissance, puis, à chaque connexion, d’instaurer l’obligation de renseigner en plus l’une de ces rubriques supplémentaires, pour vérification.

Le cryptage systématique de toutes les données (y compris mots de passe) peut être une solution efficace, tout dépendant du système de cryptage adopté. Les hackers utilisent en fait de grosses machines, capables d’absorber et de traiter des milliards de données et d’effectuer des milliards d’opérations par seconde, mais si tout est crypté, et de manière complexe, les applications qu’ils utilisent abandonnent alors la recherche et passent à d’autres adresses, et ainsi de suite, ce qui pourrait alors décourager ces pirates informatiques, voire les dissuader définitivement de s’attaquer à ce type de bases de « données ».

Cependant, et malgré toutes les précautions qu’il soit possible de prendre, nul ne pourra jamais garantir une sécurité totale. La « data-cyber-sécurité à 100% » n’est pas encore pour demain, lorsqu’on voit, par ailleurs, la facilité qu’ont certains de « prendre le contrôle à distance » de cartes bancaires (et donc de comptes bancaires), ou de « prendre le contrôle à distance » d’engins (de toutes natures) « autopilotés » c’est-à-dire « robotisés », sans pilotes, sans chauffeurs…

2 COMMENTAIRES

REPONDRE

Please enter your comment!
Please enter your name here