Des hackeurs ont piraté fin juin environ 2 000 comptes fiscaux de contribuables pour modifier leurs déclarations d'impôts, a annoncé mardi 20 août la Direction générale des finances publiques (DGFiP).

Selon Le Canard enchaîné à paraître mercredi, qui révèle cette cyber-attaque, les pirates ont le plus souvent ajouté des crédits et réductions d'impôts aux déclarations de leurs victimes, et remplacé leurs coordonnées bancaires par d'autres, entièrement fictives. "Il ne s'agissait pas d'une volonté de se faire de l'argent car "chez nous il n'y a rien à voler", explique un agent de la DGFiP.

Les hackers n'ont pas piraté directement le site des impôts, mais les boîtes mail de leurs victimes, dont ils ont pris possession pour pouvoir s'introduire dans le système. En effet, le contribuable ayant perdu son identifiant fiscal à 13 chiffres peut se le faire renvoyer par mail, puis modifier son mot de passe, permettant l'intrusion.

La sécurité du site renforcée à partir de fin aôut

La DGFiP avait constaté au débu de l'été "une vague inhabituelle de renouvellement de mots de passe de plusieurs espaces particuliers sur impots.gouv.fr", selon un communiqué de Bercy. Comme le piratage n'a concerné qu'environ 2 000 des quelque 31 millions de comptes fiscaux en ligne, les agents du fisc ont pu rapidement bloquer les comptes affectés avant d'appeler en une seule journée les victimes par téléphone et de réinitialiser leur compte après s'être assurés qu'elles avaient repris le contrôle de leur boîte mail. Ils ont adressé un courrier postal à celles qui n'ont pu être jointes par téléphone.

Pour prévenir la répétition de ce type d'incidents, la DGFiP, qui a informé les fournisseurs de boîtes mail et a porté plainte, appelle les contribuables à bien sécuriser leur service de courrier électronique. Le fisc va également renforcer dès la fin août l'accès à son site : les contribuables devront donner leur date de naissance pour pouvoir accéder à leur espace personnel. A plus long terme, des sécurisations supplémentaires sont envisagées telles "l'envoi d'un code par SMS ou l'application d'un système biométrique comme le suggère l'UE", selon le communiqué de Bercy.