Fuite de données à la DGFiP : 500 000 IBAN compromis via un accès partenaire
Le fisc français confirme une exfiltration de données bancaires touchant un demi-million de contribuables. L'incident, lié à l'usurpation d'identifiants d'un cabinet de commissaires de justice, pose la question de la sécurisation des accès tiers aux infrastructures critiques de l'État.
Une brèche par rebond : le maillon faible du partenaire
Le piratage ne résulte pas d'une vulnérabilité directe (type Zero-day) dans l'infrastructure réseau de la Direction générale des Finances publiques (DGFiP), mais d'une compromission de compte. Des attaquants ont utilisé les identifiants légitimes d’un cabinet de commissaires de justice pour interroger massivement les bases de données fiscales.
Vecteur d'attaque : Usurpation d'identifiants sur un portail partenaire.
Données exfiltrées : Noms, prénoms et IBAN (International Bank Account Number).
Volume : Environ 500 000 usagers concernés.
Risques techniques et vecteurs de fraude
Si l'IBAN seul ne permet pas de vider un compte bancaire (grâce aux protocoles de double authentification et aux mandats de prélèvement SEPA), il constitue une brique essentielle pour des attaques d'ingénierie sociale sophistiquées.
Fraude au faux conseiller : Utilisation de l'IBAN pour crédibiliser un appel malveillant.
Prélèvements SEPA frauduleux : Tentatives de mise en place de mandats de prélèvement (nécessitant toutefois une signature, souvent usurpée numériquement).
Corrélation de données : Croisement de ces IBAN avec d'anciennes fuites (comptes Ameli, France Travail) pour bâtir des profils de victimes complets.
Souveraineté et gestion des accès tiers
Cet incident souligne une faille structurelle dans la souveraineté numérique de l'État : la porosité entre les systèmes sécurisés de l'administration et les systèmes d'information (SI) privés des prestataires (notaires, huissiers, experts-comptables).
Absence de filtrage comportemental : L'extraction de 500 000 fiches n'a pas déclenché d'alerte immédiate de type "Rate Limiting" (limitation de débit) ou d'analyse d'anomalie de trafic.
Le défi de l'Open Data vs Confidentialité : L'interopérabilité des SI de l'État avec le secteur privé multiplie la surface d'attaque de manière exponentielle.
L’Avis de la Rédac
Il est toujours fascinant de constater que l'État peut bâtir des cathédrales numériques protégées par des protocoles de chiffrement de pointe, pour finalement laisser la clé sous le paillasson d'un cabinet de commissaires de justice dont le mot de passe était probablement le nom du chien ou "Azerty123". À l'heure où l'on nous vante l'identité numérique régalienne, ce rappel à la réalité est salvateur : votre vie privée est une chaîne dont la solidité dépend du maillon le plus mal payé de la sous-traitance.
📰 Source : numerama.com
🤖 Cet article a été rédigé avec l'assistance de l'intelligence artificielle à partir de sources vérifiées par la rédaction. En savoir plus