Piratage : pourquoi un pirate s’intéresse à votre accès web de contribuable ?

Posted On 11 Jan 2023

Tag: fraude fisc, paiement en ligne impôts, piratage

Vous êtes un contribuable et vous avez accès aux sites web de l’administration fiscale. Vous avez déjà dû recevoir un courriel piégé au nom du fisc vous incitant à fournir vos accès. ZATAZ va vous expliquer comment les pirates peuvent voler de l’argent à l’État en passant par votre espace personnel. Effarant !

Ewa est une jeune parisienne, spécialiste de la communication. Cette amatrice de vin de 28 ans n’aurait jamais cru être obligée de parcourir la France numérique pour alerter Crédit Lyonnais, Boursorama, Banque de France, Oney Bank, La Caisse d’Epargne, la Banque Populaire Rives de Paris, BNP Paribas ou encore PFS Card Services Ireland Limited, Younited Credit, Floa Bank. Depuis mars 2021, elle vit l’enfer.

Des pirates ont usurpé son identité pour ouvrir pas moins de 15 comptes en banques. Ils ont souscrit 3 livrets A, alors que la loi n’en autorise 1, et que les banques ont une base de données commune pour éviter ce genre de souscriptions multiples. Originalité de la cyber attaque ? Les pirates ne lui ont pas volé, directement, de l’argent. Ils ont, par exemple, modifié les informations de son compte en ligne de l’administration fiscale pour détourner plus de 8 000€.

Pirater les accès des usagers des impôts

Pirater l’espace administration des contribuables, mais quel en est l’intérêt ? Les informations personnelles ? Certes, il y en a beaucoup ! Espionner le contribuable ? La bel affaire, surtout si nous ne sommes pas milliardaires. Non, la cyber attaque est beaucoup plus sournoise. Les escrocs fournissent des déclarations d’impôts erronées. Ils y rajoutent, par exemples, des dons réalisées à des associations, à des fondations, Etc. Le salaire d’une femme de ménage ou d’une nounou, d’un jardinier. Bref, ils rajoutent des montants assujetti à un remboursement fiscale.

Pour Ewa, 8 144€ volés aux contribuables français par le biais de son accès. Les pirates, pour percevoir l’argent, ont modifié son compte bancaire, remplacé le RIB. « J’ai dû modifier l’IBAN frauduleux et mes prochaines déclarations doivent se faire sous format papier » explique la jeune femme. Ils se sont fait envoyer l’argent sur le compte bancaire modifié et par lettre-chèque. La lettre-chèque est une option proposée par le fisc. Elle permet, aux personnes n’ayant pas de RIB de recevoir de l’argent.

La mésaventure d’Ewa, que vous pouvez découvrir dans l’émission « ça peut vous arriver« , le replay complet dans laquelle, ce mois-ci, je suis revenu sur les trucs pour se protéger [extraits ci-dessous], lui a coûté en frais d’avocat plus de 4 000€, des courriers à la pelle, une inscription à la Banque de France. Les escrocs ont souscrit des crédits en son nom.

La fuite ?

Mais comment les pirates ont-ils pu mettre la main sur les informations d’Ewa. Suffisament de données pour fabriquer de faux papiers (CNI et Passeport); fausses fiches de paie; fausses factures; Etc. pour convaincre autant de banque. « J’ai envoyé des dossiers complets pour des logements, souligne Ewa, dans le lot, très certainement un escroc« . Prudence, donc, quand il vous est réclamé des documents officiels, personnels et sensibles. Le Service Veille ZATAZ tombe, très souvent, sur des packs complets de passeports, cartes nationale d’identité, que des pirates ont volé.

La fausse pièce d’identité utilisée par le/la pirate !

Un bailleur vous réclame des papiers ? Rencontrez la personnes physiquement. Demandez à le joindre par téléphone. Il n’a pas à garder les papiers.
Une fois qu’il a pu « vérifier » certains éléments, ils doivent vous rendre les documents.
Il a fait une copie ? Il doit vous en informer et les détruire à votre demande.
N’hésitez pas à alerter la CNIL. Notifiez votre bailleur que vous comprenez son besoin de s’assurer de votre solvabilité (sachant que des faux sont aussi possibles), mais faites-lui bien comprendre que son débordement dans votre vie intime peut lui coûter très cher !

Un site du Service Public vous permet de fournir à votre bailleur les documents exigés. Ce téléservice, baptisé « Dossier Facile (locataire) », permet au locataire de déposer les justificatifs autorisés et les faire parvenir au propriétaire. Le propriétaire doit se créer un compte sur « Dossier Facile (propriétaire) » pour inciter son futur locataire à utiliser ce téléservice. Autant dire que ceux qui font du « black » ou les escrocs passeront leur chemin à votre demande. Si le propriétaire réclame un justificatif non autorisé, il encourt une amende pouvant aller jusqu’à 3 000 € (ou 15 000 € s’il s’agit d’une personne morale).

Les documents autorisés

Le propriétaire peut exiger 1 pièce d’identité en cours de validité.

Vous avez le choix entre :
Carte d’identité française ou étrangère (avec photo)
Passeport français ou étranger (avec photo)
Permis de conduire français ou étranger (avec photo)
Carte de séjour temporaire
Carte de résident
Carte de ressortissant d’un État membre de l’UE: UE : Union européenne ou de l’EEE: Allemagne, Autriche, Belgique, Bulgarie, Chypre, Croatie, Danemark, Espagne, Estonie, Finlande, France, Grèce, Hongrie, Irlande, Islande, Italie, Lettonie, Liechtenstein, Lituanie, Luxembourg, Malte, Norvège, Pays-Bas, Pologne, Portugal, République tchèque, Roumanie, Slovaquie, Slovénie, Suède.

Il vous est tout à fait possible de fournir une copie de cette pièce d’identité. Je vous conseille de la marquer (watermarker) en plein milieu : date, nom du bailleur. Lors de la présentation de cette copie, le propriétaire a le droit d’exiger la présentation de l’original.

Justificatif de domicile

Le propriétaire peut exiger 1 seul documents.
Les 3 dernières quittances de loyer ou, si nécessaire, une attestation du précédent propriétaire (ou de son mandataire) indiquant que le locataire est à jour de ses loyers et charges. Il est possible aussi, si pas de quittance : attestation sur l’honneur de l’hébergeant indiquant que le candidat à la location réside à son domicile ; ou encore une attestation d’élection de domicile. Le dernier avis de taxe foncière ou, si nécessaire, titre de propriété de la résidence principale est possible aussi. Mais pas les quatre !

Justificatif d’emploi

Un contrat de travail ou de stage ou, une attestation de l’employeur. (Précisant l’emploi, le salaire. Vous allez débuter un emploi ? Date d’entrée en fonctions, la durée de la période d’essai. Carte d’étudiant ou certificat de scolarité pour l’année en cours. Copie de la carte professionnelle (profession libérale). Copie du certificat d’identification de l’Insee: Insee : Institut national de la statistique et des études économiques comportant les numéros d’identification (travailleur indépendant).

Vous retrouverez les autres justificatifs sur le site Servce-Public.fr.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.