Un e-mail des impôts qui surprend les experts en sécurité

Le courriel envoyé par la Direction générale des impôts aux internautes qui télédéclarent leurs revenus est jugé insuffisamment sécurisé.
Deux liens hypertexte en cause
Côté pratique, ce message contient en effet deux liens hypertexte, qui invitent les internautes à se rendre sur le site des impôts. L'internaute n'a aucun moyen de savoir que ce courriel est bien envoyé par la DGI, et non pas par un pirate qui aurait singé l'adresse officielle pour l'expédier vers un faux site imitant celui de la DGI. L'occasion de récupérer des données personnelles, ou d'installer sur le PC de la personne piégée des chevaux de Troie. Au moment où le phishing fait parler de lui, cet envoi a surpris des experts en sécurité que nous avons consultés.' On peut imaginer une opération d'abus de confiance pour installer un virus sur le poste de l'utilisateur ou récupérer les données personnelles des contribuables ', imagine l'un d'entre eux.Du côté de la DGI, on admet que les spécialistes de la sécurité puissent être surpris. ' Nous ne recommencerons certainement pas l'insertion d'un lien hypertexte dans notre courriel car nous sommes sensibles aux affaires de phishing. C'est l'exemple typique des problèmes de convivialité ', explique Alain Issarni, directeur des systèmes d'information de la DGI.Présence de deux photos
Cette dernière aurait pu opter pour un message avec un certificat de confiance, comme celui utilisé par la Deutsche Postbank (voir notre article). La DGi aurait pu aussi envoyer un e-mail ne contenant aucun lien actif. Elle a donc préféré insérer des liens hypertexte, en comptant sur l'éducation des internautes. ' Mais nous sommes conscients que tous ne sont pas encore assez sensibilisés à ces problèmes de sécurité et à la nécessité d'avoir un lien https lors d'une connexion sécurisée ', reconnaît Alain Issarni.Les experts en sécurité que nous avons interrogés ont également souligné la présence, dans ce courriel de la DGI, de deux photos : le logo de Marianne et celui du ministère, aux formats JPG et GIF. Et si le logiciel de messagerie de l'internaute est capable de l'afficher, peut aussi apparaître une image de type WMZ surimprimée. Là encore, ces choix surprennent lorsque l'on connaît le nombre de failles de sécurité liées à ces formats. ' Nous pouvons les enlever mais ca ne serait pas un gage supplémentaire de sécurité car cela n'empêcherait pas une personne malveillante d'envoyer un faux e-mail de la DGI et exploitant des photos piégées ', indique Alain Issarni.Le responsable informatique de la DGI tient par ailleurs à préciser que la télédéclaration en elle-même est ' très sécurisée puisqu'elle utilise à la fois le certificat qui est sur le PC du contribuable et un mot de passe pour accéder à son espace personnel sur notre site '.-
pseudo54
Je viens de recevoir un soit-disant mail des impôts qui me demande de leur indiquer ma nouvelle adresse afin de recevoir mon avis d'imposition 2011. Oui j'ai bien déménagé cette année mais j'ai déjà reçu mon avis d'imposition 2011. C'est en regardant bien le mail de "sylvie.ruhlmann@dgfip.finances.gouv.fr" et la signature que j'ai remarqué des éléments troublants. Les numéros de téléphone et fax : 01 23 45 67 89. La fonction et la société de la personne sont : fonction ou rôle et site ou service.Et en plus il n'y a pas de sujet. Je tenais à prevenir les personnes que ce genre de mail circulent et qu'il ne faut surtout pas répondre.
-
-
rieca1
des Impôts (gouv.fr.):
Ces derniers sans doute de haut niveau technique (dev??)devraient se rendre compte s'ils désirent encourager à communiquer (Déclarations par internet etc..) que le code civil permet de demander des dommages et intérêts en cas d'erreur ou de faute technique de leur part. -
eugene.kesslmark
kaspersky m'avais fourni un mot
de passe qui n'as pas ete reonnu
J'ai demander à kaspersky de me renvoyer le mot de passe qui etais le meme que le mien et qui n'etais pas reconnu Merci de me conseiller. Mr Kesselmark ps l'on me signal que les bases sont depasse -
Zeiht
Il y a un an, j'ai reçu également un mail officiel des Impôts.
Pourtant, le lien qui était fourni était erroné : il manquait, je crois, le "www." dans l'adresse, ce qui faisait arriver sur une page vide.
Un comble : il aurait été possible à des personnes mal intentionnées de récupérer le nom de domaine et de s'en servir à des fins malhonnêtes... pour peu qu'elles osent se froter au Fisc ;) -
pelot
Bonjour à tous
Hier j'ai enfin trouver un moyen de faire part de nos problèmes à KASPERSKY.
Je leur ai donc envoyé une demande de résolution de problème, maintenant j'attends leur réponse.
Ce serai bien que tout ceux qui ont le même souci leur envois également cette demande de résolution de problème, cela ferai peut être prendre au sérieux notre problème par Kaspersky.
Pour sousmettre le problème à kaspersky il faut aller sur le lien :
https://support.kaspersky.com/fr/PersonalCabinet
Ensuite il faut vous inscrire (avec votre code de la licence)
puis dans assistance technique vous cliquer dans sousmettre une demande à l'assistance technique et ainsi de suite.
Plus on sera à leur sousmettre le problème, plus ils prendrons le problème au sérieux.
Merci -
pelot
Sur des forums j'ai remarqué que nous étions nombreux à nous plaindre de ne pas pouvoir valider notre déclaration d'impôts car il y a une alerte.
En questionnant la DGI, celle-ci nous réponds de déactiver l'antivirus pendant la déclaration ????
C'est cela leur site sécurisé ????? -
Sja
Il y a bien un mot de passe mais seulement si on a faire l'installation en suivant exactemenyt la procedure décrite par la DGI, en cliquant sur l'option pour mettre soi même un mot de passe sur le certificat de poste lors de son obtention. Par défaut sinon le certificat est sans mot de passe. de toute facon ce n'est qu'un mot de passe autorisant l'utilisation du certificat donc interne au PC Utilisateur.
-
Alf31
Cela fait plusieurs fois que je lis qu'il faut un mot de passe...
J'ai effectué la procédure d'obtention d'un nouveau certificat, eh bien, je me connecte sans mot de passe...? Juste avec le certificat...! -
fg03
Il avait été déjà mentionné ce problème de la maisin mise américauine sur les organismes tels que Verisign.
La Frfance n'a plus qu'à se doter d'un organisme de certification.
On parle de messagerie... personnellement je dispose d'un certificat pour la messagerie.. mais quand je l'utilise avec des organismes publics.. souvent on me dit qu'ils ont pas reçu mon mail....
A quand la promotion des certificats pour la messagerie ?
Votre opinion