Le Canard Enchaîné raconte dans son édition du 21 août une opération de piratage qui a touché quelques milliers de contribuables sur le site des impôts. Mais ce n'est pas Bercy lui-même qui a été attaqué. L'opération s'est, comme presque toujours, concentrée sur le point faible de tout système informatique : l'utilisateur.

Bercy « piraté », feuilles d’impôts trafiquées et comptes exposés : voici 5 questions pour comprendre l’histoire du Canard Enchaîné.

Que dit le Canard Enchaîné ?

Dans son édition du 21 août, l’hebdomadaire satirique affirme que « l’on entre dans les ordinateurs de la direction générale des finances publiques comme dans un moulin ». Le journal affirme qu’entre 2 000 et 3 000 contribuables ont « vu leurs comptes fiscaux — déclarations de revenus et coordonnées bancaires — piratés à la fin juin », poussant Bercy à fermer « en catastrophe » le site des impôts.

Ce piratage n’a toutefois pas eu de lourdes conséquences : selon le journal, les assaillants ont surtout modifié un formulaire, le 2042-RICI, « qui permet de déclarer les crédits et réductions d’impôts dont peut bénéficier un contribuable et qui doivent donc lui être remboursés par le fisc ». Des individus se sont ainsi vu gratifier d’équipements à haut rendement énergétique de plusieurs milliers d’euros.

Que s’est-il passé ?

Jouant sur la métaphore de la ligne Maginot, le journal explique que le site impots.gouv.fr serait impossible (ou du moins très difficile) à attaquer de front. Mais en passant par les côtés, la forteresse n’est plus si imprenable : pour cela, il suffit de se faire passer pour un contribuable légitime, ce qui nécessite de se procurer certains éléments confidentiels : le numéro fiscal de 13 chiffres et le mot de passe.

Capture d’écran du formulaire de déclaration des revenus 2017.

Ces éléments sont en principe connus uniquement de l’usager (pour le mot de passe) ou de l’administration fiscale (pour le numéro). Or, Bercy a des procédures dans le cas ou un contribuable a égaré l’un ou l’autre. Ce sont des dispositifs, très classiques, et indispensables pour éviter qu’un service devienne inaccessible en cas d’oubli ou de perte des codes d’accès, qui ont été abusés.

Pour cela, les assaillants ont besoin de récupérer ces informations. Il faut donc soit se faire passer pour les services fiscaux auprès des victimes, soit pour les contribuables auprès du fisc. Et parfois, les deux. En mêlant ingénierie sociale, appels téléphoniques, envoi de mails frauduleux et phishing, il n’est pas fondamentalement sorcier de récupérer une partie de ces informations…. pour les exploiter ensuite afin d’avoir le reste.

C’est quoi, le phishing ?

L’hameçonnage (« phishing » en anglais) est une méthode utilisée par des personnes mal intentionnées pour tenter de récupérer frauduleusement des données personnelles. Parmi les informations qui les intéressent figurent des identifiants de connexion, des mots de passe ou encore des coordonnées bancaires. L’une des façons d’obtenir ces éléments est de se faire pour un tiers légitime, pour que la cible baisse sa garde.

Le phishing, c’est-à-dire aller à la pêche aux informations sensibles. // Source : Lum3n.com

C’est vraisemblablement cette technique qui aurait été mise en œuvre par le ou les assaillants. Dansun message sur Twitter, le 21 août, le ministère de l’Économie et des Finances indique ainsi n’avoir subi « aucun piratage ». Par contre, Bercy évoque la compromission de boîtes aux lettres personnelles chez quelques opérateurs. C’est depuis ces comptes personnels piratés que la tentative frauduleuse a dû être conduite.

Dans cette configuration, les services fiscaux ne peuvent pas deviner que la personne qui demande la réinitialisation du mot de passe est en fait un pirate. Ils supposent la requête légitime (puisqu’elle mobilise le numéro fiscal du contribuable et une boîte mail privée). Ils envoient alors le mail de réinitialisation à l’adresse associée au compte sur impots.gouv.fr, qui contient un lien où figure un formulaire pour créer un autre mot de passe.

Quelles sont les mesures prises par Bercy ?

Dans un communiqué paru le 21 août, Bercy affirme qu’aucun incident fiscal n’a eu lieu de son côté. Certes, les tiers malveillants ont pu «  accéder à l’espace particulier en ligne de ces usagers », mais la direction générale des finances publiques «  a constaté une vague inhabituelle de renouvellement de mots de passe » au cours du mois de juillet. Le volume étant anormal, Bercy a bloqué l’accès à ces comptes.

bercy
Bercy. // Source : Sylv

Environ 2 000 comptes ont ainsi été verrouillés pour éviter toute manipulation inadéquate. Ce n’est pas tout. Les services fiscaux indiquent apporter un accompagnement spécifique pour les contribuables qui ont été exposés (avec des échanges par téléphone et courrier, et un accueil dans les centres des impôts). Des signalements ont ainsi été adressés à la CNIL, aux FAI et aux fournisseurs de courrier électronique.

Enfin, Bercy dit avoir déposé plainte. Les fondements juridiques ne sont pas précisés, mais l’article 323-1 constitue un angle d’attaque possible. Celui-ci prévoit jusqu’à 3 ans de prison et 100 000 euros d’amende en cas d’accès frauduleux dans un système et si des suppression ou modification de données ont lieu. L’article 226-4-1, qui traite de l’usurpation d’identité, pourrait aussi être un levier.

 Et maintenant ?

Bercy s’apprête à renforcer les conditions d’accès aux comptes sur le site des impôts. Il est prévu l’ajout d’une nouvelle question secrète à la fin du mois d’août. Il s’agit de vérifier l’identité d’une personne en la questionnant avec une question dont la réponse n’est pas censée être connue du public. Hélas, il est possible de la trouver à cause des réseaux sociaux ou avec un peu d’intelligence sociale.

iphone mobile texto sms
Pour sécurité davantage l’accès aux comptes, un code par SMS pourrait être envoyé. // Source : CC Pxhere

Le vrai bond en avant sera la mise en place de la double authentification (aussi appelée authentification à deux facteurs). En gros, une fois que vous avez inscrit votre mot de passe, le système vous demande de renseigner un code qui s’affiche sur votre smartphone. Il vous faudra lier préalablement votre numéro de téléphone  au compte. L’envoi se fera par SMS. Aucune date n’est toutefois planifiée.

Un accès via un système biométrique est aussi en réflexion, mais aucun calendrier n’est avancé.

Enfin et surtout, Bercy invite le public à monter en niveau en matière de sécurité. Ainsi, les internautes sont invités à lire et intégrer les dix règles de base pour réduire les risques de se faire attaquer. Car la sécurité informatique doit être vue comme une chaîne à plusieurs maillons : même si Bercy renforce le sien avec les méthodes les plus fortes, si le vôtre fait défaut, c’est toute la chaîne qui se rompt.

À lire sur Numerama : Ce n’est pas votre mot de passe que vous devez changer, ce sont vos pratiques

Partager sur les réseaux sociaux