Un e-mail des impôts qui surprend les experts en sécurité

16/05/2007 à 17h15

Le courriel envoyé par la Direction générale des impôts aux internautes qui télédéclarent leurs revenus est jugé insuffisamment sécurisé.

' Cette année encore, pour votre déclaration de revenus, ayez le réflexe Internet. ' Comme l'an passé, la Direction générale des impôts (DGI) s'adresse aux contribuables qui ont opté pour la télédéclaration de leurs revenus, afin de les inviter à refaire de même en 2007. Le service est ouvert depuis le 2 mai. La DGI prévoit entre huit et dix millions de télédéclarations, contre 5,7 millions en 2006.Mais cet e-mail fait figure de contre-exemple en matière de sécurité informatique, ce qui peut étonner pour une administration comme celle de la fiscalité. Il est la preuve qu'organiser une communication simple et conviviale ne va pas sans problèmes.

Deux liens hypertexte en cause

Côté pratique, ce message contient en effet deux liens hypertexte, qui invitent les internautes à se rendre sur le site des impôts. L'internaute n'a aucun moyen de savoir que ce courriel est bien envoyé par la DGI, et non pas par un pirate qui aurait singé l'adresse officielle pour l'expédier vers un faux site imitant celui de la DGI. L'occasion de récupérer des données personnelles, ou d'installer sur le PC de la personne piégée des chevaux de Troie. Au moment où le phishing fait parler de lui, cet envoi a surpris des experts en sécurité que nous avons consultés.' On peut imaginer une opération d'abus de confiance pour installer un virus sur le poste de l'utilisateur ou récupérer les données personnelles des contribuables ', imagine l'un d'entre eux.Du côté de la DGI, on admet que les spécialistes de la sécurité puissent être surpris. ' Nous ne recommencerons certainement pas l'insertion d'un lien hypertexte dans notre courriel car nous sommes sensibles aux affaires de phishing. C'est l'exemple typique des problèmes de convivialité ', explique Alain Issarni, directeur des systèmes d'information de la DGI.

Présence de deux photos

Cette dernière aurait pu opter pour un message avec un certificat de confiance, comme celui utilisé par la Deutsche Postbank (voir notre article). La DGi aurait pu aussi envoyer un e-mail ne contenant aucun lien actif. Elle a donc préféré insérer des liens hypertexte, en comptant sur l'éducation des internautes. ' Mais nous sommes conscients que tous ne sont pas encore assez sensibilisés à ces problèmes de sécurité et à la nécessité d'avoir un lien https lors d'une connexion sécurisée ', reconnaît Alain Issarni.Les experts en sécurité que nous avons interrogés ont également souligné la présence, dans ce courriel de la DGI, de deux photos : le logo de Marianne et celui du ministère, aux formats JPG et GIF. Et si le logiciel de messagerie de l'internaute est capable de l'afficher, peut aussi apparaître une image de type WMZ surimprimée. Là encore, ces choix surprennent lorsque l'on connaît le nombre de failles de sécurité liées à ces formats. ' Nous pouvons les enlever mais ca ne serait pas un gage supplémentaire de sécurité car cela n'empêcherait pas une personne malveillante d'envoyer un faux e-mail de la DGI et exploitant des photos piégées ', indique Alain Issarni.Le responsable informatique de la DGI tient par ailleurs à préciser que la télédéclaration en elle-même est ' très sécurisée puisqu'elle utilise à la fois le certificat qui est sur le PC du contribuable et un mot de passe pour accéder à son espace personnel sur notre site '.

Les impôts s'adaptent à Vista

La DGI a adapté son système de délivrance de certificats pour le rendre compatible avec la nouvelle version de Windows.

' Si une personne a migré de XP à Vista sans changer de poste de travail, le certificat est toujours présent et elle pourra faire sa déclaration de la même façon que l'an passé. Si, en revanche, elle a changé d'OS et aussi de PC, elle doit obtenir un nouveau certificat. Dans le cas de Vista, nous avons développé avec Microsoft des fonctionnalités pour que l'obtention soit simple. Il y a une petite dizaine d'étapes à franchir avec des messages explicites. Si nous n'avions rien fait, l'internaute aurait eu énormément de messages du centre de sécurité de ce nouvel OS ', précise Alain Issarni.

La DGI a aussi tenu compte de la multiplication des navigateurs et des systèmes d'exploitation. Elle a mis en ligne différents documents permettant de connaître les configurations recommandées.

Philippe Richard

Inscrivez-vous à la Newsletter Actualités

Ailleurs sur le web

A voir aussi sur 01net.com

A voir aussi

Votre opinion

14 opinions

pseudo54 31/08/2011 à 19h56

Je viens de recevoir un soit-disant mail des impôts qui me demande de leur indiquer ma nouvelle adresse afin de recevoir mon avis d'imposition 2011. Oui j'ai bien déménagé cette année mais j'ai déjà reçu mon avis d'imposition 2011. C'est en regardant bien le mail de "sylvie.ruhlmann@dgfip.finances.gouv.fr" et la signature que j'ai remarqué des éléments troublants. Les numéros de téléphone et fax : 01 23 45 67 89. La fonction et la société de la personne sont : fonction ou rôle et site ou service.Et en plus il n'y a pas de sujet. Je tenais à prevenir les personnes que ce genre de mail circulent et qu'il ne faut surtout pas répondre.
rBouhanna 18/09/2008 à 20h14

même probleme . Que faire ?
rieca1 16/09/2008 à 21h33

des Impôts (gouv.fr.):
Ces derniers sans doute de haut niveau technique (dev??)devraient se rendre compte s'ils désirent encourager à communiquer (Déclarations par internet etc..) que le code civil permet de demander des dommages et intérêts en cas d'erreur ou de faute technique de leur part.
eugene.kesslmark 16/09/2008 à 20h52

kaspersky m'avais fourni un mot
de passe qui n'as pas ete reonnu
J'ai demander à kaspersky de me renvoyer le mot de passe qui etais le meme que le mien et qui n'etais pas reconnu Merci de me conseiller. Mr Kesselmark ps l'on me signal que les bases sont depasse
Zeiht 20/06/2007 à 15h07

Il y a un an, j'ai reçu également un mail officiel des Impôts.
Pourtant, le lien qui était fourni était erroné : il manquait, je crois, le "www." dans l'adresse, ce qui faisait arriver sur une page vide.

Un comble : il aurait été possible à des personnes mal intentionnées de récupérer le nom de domaine et de s'en servir à des fins malhonnêtes... pour peu qu'elles osent se froter au Fisc ;)
pelot 29/05/2007 à 10h08

Bonjour à tous
Hier j'ai enfin trouver un moyen de faire part de nos problèmes à KASPERSKY.
Je leur ai donc envoyé une demande de résolution de problème, maintenant j'attends leur réponse.
Ce serai bien que tout ceux qui ont le même souci leur envois également cette demande de résolution de problème, cela ferai peut être prendre au sérieux notre problème par Kaspersky.

Pour sousmettre le problème à kaspersky il faut aller sur le lien :
https://support.kaspersky.com/fr/PersonalCabinet
Ensuite il faut vous inscrire (avec votre code de la licence)
puis dans assistance technique vous cliquer dans sousmettre une demande à l'assistance technique et ainsi de suite.
Plus on sera à leur sousmettre le problème, plus ils prendrons le problème au sérieux.
Merci
pelot 29/05/2007 à 10h05

Sur des forums j'ai remarqué que nous étions nombreux à nous plaindre de ne pas pouvoir valider notre déclaration d'impôts car il y a une alerte.
En questionnant la DGI, celle-ci nous réponds de déactiver l'antivirus pendant la déclaration ????
C'est cela leur site sécurisé ?????
Sja 23/05/2007 à 14h28

Il y a bien un mot de passe mais seulement si on a faire l'installation en suivant exactemenyt la procedure décrite par la DGI, en cliquant sur l'option pour mettre soi même un mot de passe sur le certificat de poste lors de son obtention. Par défaut sinon le certificat est sans mot de passe. de toute facon ce n'est qu'un mot de passe autorisant l'utilisation du certificat donc interne au PC Utilisateur.
Alf31 23/05/2007 à 08h47

Cela fait plusieurs fois que je lis qu'il faut un mot de passe...
J'ai effectué la procédure d'obtention d'un nouveau certificat, eh bien, je me connecte sans mot de passe...? Juste avec le certificat...!
fg03 21/05/2007 à 14h35

Il avait été déjà mentionné ce problème de la maisin mise américauine sur les organismes tels que Verisign.
La Frfance n'a plus qu'à se doter d'un organisme de certification.

On parle de messagerie... personnellement je dispose d'un certificat pour la messagerie.. mais quand je l'utilise avec des organismes publics.. souvent on me dit qu'ils ont pas reçu mon mail....
A quand la promotion des certificats pour la messagerie ?

Lire la suite des opinions (14)