Sécurité informatique : soyez vigilants !

Renforcer la sécurité de votre espace particulier

Si ce n’est pas déjà fait, pensez à renseigner et valider votre numéro de téléphone portable dans votre espace particulier (rubrique « Mon profil »).

Grâce à cela, la procédure de renouvellement de votre mot de passe ou de récupération de votre identifiant en cas de perte sera sécurisée par l’envoi d’un code de validation par SMS. La saisie de ce code permettra de garantir que vous êtes bien l’auteur de la demande.

Savoir identifier les techniques de fraudes

Des courriels, SMS et appels téléphoniques frauduleux usurpant l'identité de l'administration et de ses agents ont été constatés par la direction générale des Finances publiques.

Parmi les messages et appels frauduleux, les plus nombreux concernent :

  • les tentatives pour obtenir des documents concernant l'identification des fournisseurs et des clients, les factures non réglées et non échues, les références des contacts financiers...
  • les tentatives de fraude à la carte bancaire qui accompagnent la promesse d'une restitution d'impôts ;
  • les appels à des numéros surtaxés ;

D'autres pratiques abusives récentes tentent de soustraire des informations aux usagers (faux recensement par exemple).

Ne fournissez jamais d'informations privées après avoir reçu un courriel, un SMS ou un appel téléphonique

Soyez extrêmement prudents et sachez que les services de la direction générale des Finances publiques ne demandent jamais de coordonnées bancaires, d'informations personnelles, de données d'identification des fournisseurs et des clients, d'informations sur les factures ou sur les références des contacts financiers ... par courriels ou téléphone.

Dans votre intérêt, ne répondez jamais à ces sollicitations.

Verifiez toujours les adresses électroniques

Qu'il s'agisse de cette de l'expéditeur du message, d'une adresse courriel à laquelle on vous demande d'écrire ou de celle d'un lien contenu dans le message, examinez les avec attention.

L'administraion fiscale :

  • utilise uniquement des adresses courriel dont le domaine (partie droite à partir de l'arobase) est exactement @dgfip.finances.gouv.fr

  • a uniquement des sites internet dont le domaine est celui réservé à l'État : .gouv.fr
    Exemples : https://www.impots.gouv.fr, https://cfspart.impots.gouv.fr, https://www.amendes.gouv.fr, etc.

A contrario :

  • Un courriel marqué "DGFiP" envoyé depuis tout autre domaine est frauduleux.
    Exemples d'expéditeurs frauduleux :
    - Direction Générale des Finances Publiques <ne_pas_repondre.dgfip.finances.gouv.fr@milingserver.weebly.com>
    - Impôts<direction.generale.finances.publiques@mailer.fr>

  • Toute adresse de site ou lien dans le message dont l'adresse n'est pas en .gouv.fr cherche vraisemblablement à vous tromper.
    Exemple : https://tinyurl.com/57drs7p2

 

> Courriels et SMS frauduleux (hameçonnage ou phishing)

Il s'agit de tentatives d'hameçonnage (phishing en anglais). L'émetteur se fait passer pour la DGFiP et invite le destinataire à cliquer sur un lien.

La DGFiP vous recommande la plus grande prudence et vous rappelle quelques consignes de sécurité.

Ces courriers sont des faux. L’administration fiscale n’est pas à l’origine de ces envois. Le numéro de carte bancaire ne vous est jamais demandé pour le paiement d’un impôt ou le remboursement d’un crédit d’impôt, ni pour compléter vos coordonnées personnelles.

Que faire si vous recevez un courrier électronique de ce type ?

  1. ne répondez pas à ce message ;
  2. ne cliquez pas sur les liens à l'intérieur du message (ils peuvent vous rediriger vers un faux site) ;
  3. supprimez le message de votre boîte aux lettres.

D’un point de vue général, nous vous recommandons de ne jamais communiquer par courrier électronique ou par téléphone de données personnelles et surtout pas votre numéro de carte bancaire.

En cas de doute sur l’identité de l’expéditeur d’un courrier postal ou électronique portant en-tête ou signature de la Direction générale des Finances publiques, du Ministère des Finances et des Comptes publics, contactez votre Centre des Finances publiques (vous trouverez ses coordonnées à la rubrique Contacts).

Le phishing (ou "hameçonnage") est une technique qui a pour objectif de tromper les internautes afin de leur escroquer des sommes d’argent. Il consiste en l’envoi de messages (courriers  électroniques) usurpant l’identité d’administrations ou de grands organismes et demandant à l’internaute de fournir des informations personnelles, notamment un numéro de carte bancaire.

Ces courriers électroniques peuvent se présenter comme des messages provenant de l’administration fiscale. Le message est très souvent à l’entête ou à la signature de la Direction générale des Finances publiques ou du Ministère des finances et des comptes publics. Il demande aux usagers de fournir leur numéro de carte bancaire, le plus souvent en vue d’obtenir un remboursement d’impôt ou de compléter leurs coordonnées personnelles.

D'autres pratiques abusives récentes tentent de soustraire des informations aux propriétaires de locaux professionnels (faux recensement).

Exemples de SMS et courriels frauduleux

Auprès des particuliers :

Ici, l'émetteur "Support client <terry@traditionaltitlerva.com>"détourne le format des messages habituellement adressés par la DGFiP pour un prétendu remboursement d'impôt auquel le destinataire aurait droit.
Un bouton cliquable invite à se rendre sur un formulaire de remboursement destinés uniquement à obtenir vos informations personnelles.

Le lien "https://tinyurl.com/57drs7p2 de ce faux formulaire utilise un raccourcisseur d'url pour masquer davantage la véritable destination.

Dans des circonstances de ce type, la DGFiP ne propose jamais d'accès direct à des formulaires en ligne : les messages officiels invitent à se rendre sur impots.gouv.fr pour se connecter à son espace particulier.

Dans le cas présent, l'usager reçoit d'un faux émetteur olivia.moulin@ac-orleans-tours.fr un courriel lui indiquant qu'il a fait l'objet d'un audit dont le résultat figure en pièce jointe et l'invitant à contacter CONTROLE.FINANCES23@GMAIL .COM ".

La pièce jointe est une fausse notification (utilisant un logo périmé, une fausse signature et un faux tampon) menaçant le destinatataire d'une peine de prison, d'une important amende et d'une saisie de ses bien s'il ne paye pas la somme de 7108 € sous 48h en contactant l'adresse électronique déjà indiqué dans le courriel lui-même.
Ceci n'ayant évidemment pour but que d'effrayer le destinaire pour lui extorquer cette somme et des informations personnelles au passage.

Dans un cas réel de contrôle fiscal, la DGFiP adresser un courrier papier avec accusé de réception et jamais une telle notification par messagerie.

Ici, l'émetteur détourne le format des messages habituellement adressés par la DGFiP, et ce, afin d'obtenir des éléments d'identité sous le prétexte de mettre à jour le dossier de l'usager.

La DGFiP ne réclame jamais de tels éléments par un courriel type (c'est-à-dire sans une démarche préalable de l'usager auprès de ses services).

L'adresse de réponse service@dgfip-impots.fr cherce à se faire passer pour une adresse de la DGFiP. Soyez attentifs : la DGFiP utilise uniquement des adresses utilisant le de domaine @dgfip.finances.gouv.fr.
ci, l'émetteur détourne le format des messages habituellement adressés par la DGFiP, et ce, afin d'obtenir des éléments d'identité sous le prétexte de mettre à jour le dossier de l'usager.


La DGFiP ne réclame jamais de tels éléments par un courriel type (c'est à dire sans une démarche préalable de l'usager auprès de ses services).

L'adresse de l'expéditeur - service impots gouv<contact@joone.fr> - montre qu'examiner l'adresse émettrice (le libellé associé, comme ici "service impots gouv" est insuffisant car trompeur) fournit toujours le premier indice d'une fraude.
La DGFiP utilise uniquement des adresses utilisant le nom de domaine @dgfip.finances.gouv.fr.

Auprès des entreprises :

Dans cet, l'émetteur se fait également passer pour la DGFiP, en :
- utilisant une adresse d'expédition et de réponse cherchant à ressembler aux adresses réelles ;
- affichant un nom et une signature d'un agent vérificateur qui n'existe pas ;
- détournant la procédure du droit de communicaiton par lequel l'administration peut demander des renseignements et des documents.

L'escroquerie consiste à extorquer des informations  à l'entreprise destinataire du message sous couvert d'une fausse procédure.
Dans cet autre exemple, l'émetteur se fait également passer pour la DGFiP avec une très grande vraisemblance : le message prend la forme en tous points de messages réels de la DGFiP jusqu'à l'emploi du nom d'un véritable agent de la DGFiP.

Seul le domaine @dgfip-finances-gouv.xyz, @dgfip-finances-gouv.art, etc, se distingue, même si d'autres informations sont incohérentes (grade de l'agent, non correspondance service / adresse / téléphone).

L'escroquerie, subtile car évoquant un caractère non contraignant, consiste à:

- demander à un employé d'une entreprise des renseignements sur ses clients, au prétexte de mise à jour de son dossier ;

- tenter de faire transmettre le message à une tierce personne.
Dans cet exemple, l'émetteur se fait passer pour la DGFiP en imitant la forme des courriels officiels adressés par l'administration, notamment en usurpant le nom du site impots.gouv.fr.
L'escroquerie consiste :
- à faire croire au destinaire que l'administration souhaite lui rembourser un trop perçu pour une somme conséquente
- à demander à cliquer sur un lien contenu dans le message (lien malveillant évidemment)
- à faire pression en parlant d'un délai limite de 48 heure
Dans cet exemple, l'émetteur se fait passer pour la DGFiP en usurpant le nom du site impots.gouv.fr.
L'escroquerie consiste à faire croire au destinaire qu'il doit télécharger et installer sur son ordinateur une application pour accéder à impots.gouv.fr.

Aucune application spécifique n'est nécessaire pour accéder au site impots.gouv.fr (sauf par smartphone exclusivement via App Store, Google Play ou Window Store).

Exemple de SMS frauduleux


Ici, l'émetteur fait croire que le SMS provient dela DGFiP, et ce, afin d'obtenir des éléments d'identité sous le prétexte d'obtenir l'indemnité carburant.

La direction générale des Finances publiques (DGFiP) n'envoie pas de SMS pour faire la promotion de l'indemnité carburant, le seul site officiel pour faire sa demande est impots.gouv.fr.

Le site indiqué est frauduleux, il n'appartient pas à la DGFiP. Soyez attentifs à l'adresse, les sites ou services en ligne de la DGFiP sont dans tous dans le domaine .gouv.fr comme impots.gouv.fr
Dans cet autre exemple, l'émetteur se fait également passer pour la DGFiP en usurpant le nom de l'application Impots.gouv ("Impot.gov) comme émetteur du SMS.
L'escroquerie consiste à :
- faire croire au destinaire que l'administration souhaite lui rembourser un trop perçu pour une somme d'un montant plausible
- inviter à cliquer sur un lien frauduleux pour confirmer ce remboursement

> Faux sites usurpant l'identité "impots.gouv.fr"

Attention à l'adresse des sites que vous visitez !

L'exemple suivant repose sur deux fraudes :

- l'envoi d'un courriel malveillant (cf. ci-dessus) invitant le destinataire à se connecter en ligne à notre site ;

- la présentation d'un site frauduleux impots.gouv.app imitant parfaitement l'accès à l'espace particulier de notre site a tenté de subtiliser les informations personnelles des usagers pour pirater leur véritable compte.

 

Restez toujours très vigilants : pour vos démarches fiscales vérifiez toujours que vous êtes bien sur impots.gouv.fr, puis sur https://cfspart.impots.gouv.fr/ lorsque vous souhaitez accéder à votre espace particulier.
 

 

> Appels téléphoniques frauduleux (hameçonnage vocal ou vishing)

Les fraudes téléphoniques peuvent prendre des formes et des objectifs différents, comme  :

  • Appel censé émaner des services « impôts » pour facturer des appels surtaxés :
    La méthode utilisée, toujours la même, signale par voie téléphonique à l'usager une anomalie sur son dossier fiscal et l'invite, afin d'éviter d'éventuelles sanctions, à rappeler au plus vite un numéro de téléphone surtaxé facturé 5€ la minute.

    La direction générale des Finances publiques est totalement étrangère à ces pratiques et invite les usagers à ne pas donner suite à ces appels. Ces pratiques frauduleuses (vishing et phishing) ne se limitent pas à l'administration fiscale mais elles touchent d'autres secteurs comme les banques, les assurances, ou encore les distributeurs d'énergie.

     
  • Appel frauduleux pour obtenir des données personnelles :
    Certains fraudeurs se font passer pour une administration afin de récupérer des données personnelles ou des identifiants de connexion au compte fiscal.

    Exemple : Un appel d'un faux agent du ministère de l'écologie demandant à un usager de lui communiquer son numéro fiscal afin de lui faire bénéficier d'un chaudière gratuite. Avec cette donnée, le fraudeur pourra tenter de pirater le compte fiscal.
     

L'administration fiscale rappelle que :

  • la délivrance de données personnelles et d'identifiants de connexion par téléphone présente un risque important ;
  • les numéros de carte bancaire des usagers ne sont jamais demandés dans le but d'effectuer des transactions ou des remboursements sur internet  ;
  • seuls les numéros de téléphone figurant sur les documents officiels (avis ou déclarations d'impôts...) ou le numéro Impôts Service 0 810 467 687 sont fiables pour contacter les services des finances publiques ;
  • consulter le site impots.gouv.fr ou les réseaux sociaux (Twitter ou Facebook) qui donnent des informations officielles sur le sujet.

Pour tout renseignement ou pour signaler une tentative d’escroquerie

  • par internet sur « internet-signalement.gouv.fr » ;
  • par téléphone via le numéro vert gratuit mis en place par le gouvernement : 0 805 805 817.

 

 

Dernière mise à jour : septembre 2023