Piratage des comptes de contribuables : "Le point d'inquiétude majeur, c'est la sécurité des boîtes mail"

Un expert en cybersécurité revient sur le piratage de comptes fiscaux, via les boîtes mail de contribuables cet été.

Déclaration de revenus en ligne sur le site impots.gouv.fr. 
Déclaration de revenus en ligne sur le site impots.gouv.fr.  (AURÉLIE LAGAIN / RADIO FRANCE)

Des pirates informatiques ont accédé aux comptes fiscaux de contribuables de la plateforme impots.gouv.fr en piratant leur messagerie électronique personnelle, a-t-on appris mardi. "Le point d'inquiétude majeur c'est plutôt la sécurité des boîtes mail", a estimé mercredi 21 août sur franceinfo Gérôme Billois, expert en cybersécurité au cabinet Wavestone.

franceinfo : Faut-il s'inquiéter de ce piratage ?

Gérôme BilloisC'est inquiétant, parce que le site des impôts contient des données qui sont extrêmement sensibles. Ce sont toutes nos données à caractère personnel qui sont mises à jour tous les ans et c'est pour ça qu'elles intéressent des pirates. Le point d'inquiétude majeur, c'est plutôt la sécurité des boîtes mail des contribuables que la sécurité du site des impôts, puisque c'est par là que sont passés les pirates.

Il suffit donc de pirater une boîte mail pour changer un dossier fiscal ?

Cela veut dire que des personnes se sont fait pirater leurs boîtes mail parce qu'elles avaient peut-être un mot de passe qui n'était pas de bon niveau. Effectivement, par ce biais-là les pirates ont pu changer le mot de passe d'accès au site des impôts sans pirater directement les impôts. Cela veut dire qu'en ayant accès à la boîte mail de quelqu'un, on peut pirater ses comptes. C'est vrai pour plein de choses, comme les sites de vente en ligne. Les impôts vont quand même renforcer leur mécanisme en ajoutant une vérification complémentaire quand on va demander à changer son mot de passe.

Comment peut-on sécuriser une boîte mail pour éviter ce genre de mésaventure ?

La sécurisation d'une boîte mail passe par le fait d'avoir un mot de passe de bonne qualité, mais aussi par l'activation d'une authentification à deux facteurs. Cela consiste à recevoir un sms lorsque l'on va accéder à sa boîte mail pour s'assurer que c'est bien nous. Aujourd'hui, tous les grands fournisseurs le permettent.

Quel est l'intérêt de pirater des comptes fiscaux ?

L'intérêt peut-être double. C'est de capturer les données qui sont sur ces sites fiscaux, elles sont extrêmement fiables, ce sont nos noms, nos adresses, la composition du foyer… Ce sont des choses que les cybercriminels peuvent revendre sur les marchés noirs de la cybercriminalité. Ensuite, elles sont utilisées pour faire des faux, ou du phishing. Autre point, avec le prélèvement à la source, les impôts vont plutôt avoir tendance à nous verser de l'argent qu'à nous en prendre. Cela va se passer par le RIB qu'on a renseigné. Certains pirates changent les RIB pour recevoir l'argent à la place des gens.