D’ores et déjà accessible sur le site Internet des Impôts, la télédéclaration des revenus 2019 a vu sa date limite repoussée d’un mois en raison de la crise du Covid-19. Mais de même qu’ils ont capitalisé sur les peurs liées au coronavirus pour diffuser des applications mobiles malveillantes, de nombreux cyber escrocs profitent du confinement et de la généralisation des démarches administratives sur le Net en multipliant les attaques de phishing usurpant le site impots.gouv.fr.
Ces attaques prennent de nombreuses formes. La plus récente d’entre elles, émanant prétendument du service des impôts, demande à ses victimes une copie de leur pièce d’identité. D’autres invitent les contribuables à divulguer leurs coordonnées bancaires ou évoquent un remboursement d’impôts. La plupart empruntent le canal des emails, mais d’autres sont diffusées par SMS ou même via les réseaux sociaux.
Exploitant de faux sites impots.gouv.fr parfaitement imités, l’objectif de toutes ces attaques et de pirater les comptes fiscaux et de subtiliser des données personnelles et bancaires.
Les mobiles, une cible de choix
La Direction générale des finances publiques est consciente de la multiplication de ces campagnes de phishing et s’efforce d’informer les contribuables en leur donnant les informations nécessaires pour s’en prémunir. Mais beaucoup de ces attaques risquent encore de passer entre les mailles du filet, spécialement lorsqu’elles sont reçues sur un terminal mobile.
En effet, les mobiles sont une cible de choix pour les escrocs et autres cyber criminels. La faible taille de leur écran empêche d’identifier facilement l’URL du site malveillant ou d’éventuelles incohérences ou fautes d’orthographe. D’autre part, leurs utilisateurs ont tendance à répondre plus rapidement aux emails et aux divers message reçus, via SMS ou sur les réseaux sociaux.
Un risque supplémentaire : pénétrer sur les réseaux d’entreprise
En outre, de plus en plus d’utilisateurs travaillant à partir de leur terminal mobile, la perméabilité entre les environnements professionnel et personnel représente une autre menace importante.
Un employé travaillant de chez lui, chose courante en raison de la crise sanitaire, peut recevoir ses emails personnels sur un mobile fourni par son entreprise, ou accéder aux ressources de son entreprise à partir de son mobile personnel. Dans les deux cas, le risque est grand qu’une attaque de phishing permette à l’attaquant de subtiliser ses identifiants d’entreprise et ainsi de pénétrer dans le réseau de son employeur. Ce risque est encore plus important dans le cas d’attaques de phishing par SMS, qui ne peuvent être détectées par des solutions d’antiphishing par email traditionnelles.
Les responsables de la sécurité en entreprise doivent avoir conscience de ce risque. Même s’ils ont mis en place une solution de protection conte le phishing par email, ils doivent s’interroger sur la protection des comptes email personnels ou des messages SMS sur les mobiles de leurs employés.