La déclaration des revenus en ligne est-elle suffisamment sécurisée?

Dans les semaines qui viennent*, des millions d’internautes français vont effectuer leur déclaration de revenus de l’année 2006 en ligne. En 2006, la télédéclaration avait séduit 5,7 millions de foyers. Cette année, « nous avons dimensionné la plate-forme pour 10 millions de déclarations », déclare Alain Issarni, directeur des services informatiques de la Direction générale des impôts (DGI). Soit environ un tiers des 30 millions de foyers fiscaux en France. Les ordinateurs des cyberdéclarants disposent-ils de la sécurité nécessaire à cette démarche sensible en ligne?

« Il y a toujours un danger si un ordinateur est mal protégé », rappelle François Paget, ingénieur officiant au Centre de sécurité de McAfee. L’année 2006 a été une année particulièrement virulente en matière de diffusion d’agents malveillants (chevaux de Troie, porte dérobée, keylogger et autres password stealer) spécialisés dans le vol d’informations. François Paget se veut rassurant : « Si un internaute dont la machine est infectée tente de joindre un site sécurisé, il peut faire l’objet d’un détournement d’informations personnelles, mais je ne vois pas de menaces spécifiques à la télédéclaration plus que lors d’une transaction avec un site marchand ou la consultation de compte avec la banque en ligne. »

« A la différence des services dont l’accès est basé sur le login et mot de passe, la télédéclaration est hautement sécurisée », renchérit le directeur des services informatiques (DSI) de la DGI. La déclaration des revenus en ligne impose l’usage d’un certificat numérique installé sur le poste de l’utilisateur (et valide 3 ans). « L’action d’un keylogger portera sur la saisie du mot de passe mais pas sur le sésame qu’est le certificat numérique « , soutient Alain Issarni. Ce qui, selon lui, fait de la France « le plus gros utilisateur de certificats numériques au monde ». Chiffré (sur 128 bits) et associé à la politique de sécurité du navigateur (qui peut interdire toute manipulation du document d’authentification), « le certificat complique considérablement la tâche du pirate ».

Pas de campagne d’attaque spécifique

Pourtant, « le nouveau degré de praticité (sic), de rapidité et de précision durant la période de déclaration […], ainsi que sa popularité croissante ne doit pas faire oublier les risques de perte de confidentialité des données personnelles causés par les cybercriminels », estime Webroot, l’éditeur de la solution anti logiciel espion Spy Sweeper. Selon l’entreprise américaine, le nombre d’agents de surveillance a cru de 265 % entre février et mars 2006, période traditionnelle de déclaration des revenus aux Etats-Unis. « Tout porte à croire que la France devrait connaître une hausse des attaques similaire cette année », alerte l’éditeur dans son communiqué.

« Nous ne constatons pas de campagne d’attaque spécifique mais cela peut prendre d’autres formes comme l’utilisation de chevaux de Troie [qui peuvent donner un accès distant à la machine infectée aux attaquants, ndlr] qui s’active au moment de la transaction », note Stéphane Gili Miro, directeur des opérations chez Panda Software France. François Paget confirme : « Pas d’augmentation de campagne virale spécifique constatée même si le vol d’information est toujours sur une courbe montante ». Du côté de la DGI, Alain Issarni est formel : « Aucun pic d’attaque constaté. »

Reste les tentatives d’attaques par phishing. C’est-à-dire en faisant venir l’internaute sur un site miroir de la DGI créé uniquement pour récupérer les informations de déclaration. Un récent courriel de rappel envoyé aux utilisateurs de la télédéclaration avec des liens dynamiques ne permettant pas de confirmer que la DGI en était bien l’expéditeur est venu rappeler cette possibilité d’attaque. Si Alain Issarni reconnaît la maladresse, il rappelle que, depuis 2006, les déclarations sont pré-remplies, en ligne comme sur le papier. « Des informations préalables que les pirates ne peuvent pas posséder et dont l’absence serait de nature à alerter le télédéclarant », justifie le DSI. Et de rappeler que les moyens de paiements sont décorrélés de la télédéclaration. Or, la motivation des cybercriminels est principalement financière, le plus souvent.

Un identifiant unique que tout criminel se doit de posséder

Dans ces conditions, le vol d’informations personnelles attachées à la déclaration de revenus en ligne relève d’un intérêt discutable. Qu’est-ce qui justifierait alors, selon Webroot, une plus forte propensions d’attaques aux Etats-Unis qu’en France? François Paget avance une explication : « Il faut savoir que le social ID number [l’équivalent du numéro de sécurité social, ndlr] est utilisé dans la déclaration des revenus. Et cet identifiant unique peut ouvrir énormément de portes en terme d’arnaques par usurpation d’identité. C’est l’information à avoir quand on est un criminel. » Or, il n’y a pas d’équivalent dans la déclaration d’impôt en France.

Malgré cela, les portes paroles de Mc Afee et Panda Software conseillent de vérifier l’innocuité de son ordinateur avant toute transaction en ligne. Par l’installation d’un antivirus essentiellement. A défaut, les internautes peuvent se tourner vers les services en ligne d’analyse des disques durs proposés par les éditeurs de solutions de sécurité. A l’internaute de décider de la poursuite de l’utilisation de sa machine en fonction du résultat pour effectuer ses transactions. Mais, dans le cadre de la télédéclaration du revenu en France, François Paget comme Stéphane Gili Miro sont unanimement confiants :  » Allez-y! »