Piratage de déclarations de revenus : faut-il s’en inquiéter ?

L’administration fiscale fait évoluer la procédure de récupération des codes d’accès aux espaces personnels du site impots.gouv.fr, après que des contribuables ont vu leurs déclarations de revenus et leurs coordonnées bancaires modifiées.
2mn de lecture
Des hackeurs ont pu modifier des déclarations de revenus et des coordonnées bancaires de contribuables.
Des hackeurs ont pu modifier des déclarations de revenus et des coordonnées bancaires de contribuables. © REDPIXEL

À la fin du mois de juin, 2 000 à 3 000 contribuables ont subi un piratage de leurs déclarations de revenus et de leurs coordonnées bancaires inscrites sur le site impots.gouv.fr, rapporte Le Canard enchaîné dans son édition du mercredi 21 août.

Les hackeurs ont bénéficié des failles de la procédure de récupération des numéros d’identification et des mots de passe permettant d’accéder à des espaces personnels du portail officiel. Ils ont réussi à entrer dans les messageries électroniques des contribuables victimes pour obtenir leurs codes.

« Des boîtes mail pas suffisamment sécurisées ont été piratées, mais nous ne l’avons pas été », indique à Dossier Familial la Direction générale des finances publiques (DGFiP) de Bercy, évoquant « environ 2 000 » contribuables touchés.

Réductions et crédits d’impôt imaginaires

Selon l’hebdomadaire satirique, dans la plupart des cas, les hackeurs ont utilisé le « formulaire 2042-RICI », dans lequel vous devez rapporter les faits vous permettant de bénéficier de réductions et de crédits d’impôt.

Par exemple, pour un contribuable, les malfrats ont déclaré l’achat « d’une chaudière à haut rendement énergétique qu’il aurait payée 6 438 €, d’un double vitrage (7 974 €), de volets isolants (7 783 €) », d’après Le Canard enchaîné.

Aucune conséquence

La DGFiP précise avoir pris contact avec les victimes « dans les deux jours » suivant le moment où elle s’est rendu compte du problème.

« Toutes les déclarations truquées ont été rectifiées avant le 24 juillet », ajoute le journal. Les victimes n’ont donc subi aucune conséquence de l’intrusion. « Ni l’Etat ni les contribuables n’ont subi de dommage financier », souligne la DGFiP, qui a déposé plainte.

Si les hackeurs avaient changé des coordonnées bancaires, celles qu’ils avaient inscrites à la place ne correspondaient à aucun compte existant.

L’administration fiscale assure avoir tiré les conséquences de cet événement. « La récupération d’un numéro fiscal par un simple mail n’est plus possible. Des évolutions sont à venir », explique la DGFiP, qui cite l’ajout d’une question secrète.

df
Timour Aggiouri
Publié le