nos newsletters
Abonnez-vous à Micro Hebdo : 4,90 €/mois
Abonnez-vous à l'Ordinateur Individuel : 3 €/mois
Abonnez-vous à 01Business et Technologies : 19 €/mois
Abonnez-vous à la version digitale
Un e-mail des impôts qui surprend les experts en sécurité
Le courriel envoyé par la Direction générale des impôts aux internautes qui télédéclarent leurs revenus est jugé insuffisamment sécurisé.
' Cette année encore, pour votre déclaration de revenus, ayez le réflexe Internet. ' Comme l'an passé, la Direction générale des impôts (DGI) s'adresse aux contribuables qui
ont opté pour la télédéclaration de leurs revenus, afin de les inviter à refaire de même en 2007.
Le service est ouvert depuis le 2 mai. La DGI prévoit entre huit et dix millions de télédéclarations, contre 5,7 millions en 2006.
Mais cet e-mail fait figure de contre-exemple en matière de sécurité informatique, ce qui peut étonner pour une administration comme celle de la fiscalité. Il est la preuve qu'organiser une communication simple et conviviale ne va pas
sans problèmes.
Deux liens hypertexte en cause
Côté pratique, ce message contient en effet deux liens hypertexte, qui invitent les internautes à se rendre
sur le site des impôts. L'internaute n'a aucun moyen de savoir que ce courriel est bien envoyé par la DGI, et non pas par un pirate qui aurait singé l'adresse officielle pour
l'expédier vers un faux site imitant celui de la DGI. L'occasion de récupérer des données personnelles, ou d'installer sur le PC de la personne piégée des chevaux de Troie. Au moment où
le phishing fait parler de lui, cet envoi a surpris des experts en sécurité que nous avons consultés.
' On peut imaginer une opération d'abus de confiance pour installer un virus sur le poste de l'utilisateur ou récupérer les données personnelles des contribuables ', imagine l'un
d'entre eux.
Du côté de la DGI, on admet que les spécialistes de la sécurité puissent être surpris. ' Nous ne recommencerons certainement pas l'insertion d'un lien hypertexte dans notre courriel car nous sommes
sensibles aux affaires de phishing. C'est l'exemple typique des problèmes de convivialité ', explique Alain Issarni, directeur des systèmes d'information de la DGI.
Présence de deux photos
Cette dernière aurait pu opter pour un message avec un certificat de confiance, comme celui utilisé par la Deutsche Postbank
(voir notre article). La DGi aurait pu aussi envoyer un e-mail ne contenant aucun lien actif. Elle a donc préféré insérer des liens hypertexte, en comptant sur l'éducation des
internautes. ' Mais nous sommes conscients que tous ne sont pas encore assez sensibilisés à ces problèmes de sécurité et à la nécessité d'avoir un lien https lors d'une connexion
sécurisée ', reconnaît Alain Issarni.
Les experts en sécurité que nous avons interrogés ont également souligné la présence, dans ce courriel de la DGI, de deux photos : le logo de Marianne et celui du ministère, aux formats JPG et GIF. Et si le logiciel de messagerie
de l'internaute est capable de l'afficher, peut aussi apparaître une image de type WMZ surimprimée. Là encore, ces choix surprennent lorsque l'on connaît le nombre de failles de sécurité liées à ces formats.
' Nous pouvons les enlever mais ca ne serait pas un gage supplémentaire de sécurité car cela n'empêcherait pas une personne malveillante d'envoyer un faux e-mail de la DGI et exploitant des photos
piégées ', indique Alain Issarni.
Le responsable informatique de la DGI tient par ailleurs à préciser que la
télédéclaration en elle-même est ' très sécurisée puisqu'elle utilise à la fois le certificat qui est
sur le PC du contribuable et un mot de passe pour accéder à son espace personnel sur notre site '.
Les impôts s'adaptent à Vista
La DGI a adapté son système de délivrance de certificats pour le rendre compatible avec la nouvelle version de Windows.
' Si une personne a migré de XP à Vista sans changer de poste de travail, le certificat est toujours présent et elle pourra faire sa déclaration de la même façon que l'an passé. Si, en revanche, elle a changé d'OS et aussi de PC, elle doit obtenir un nouveau certificat. Dans le cas de Vista, nous avons développé avec Microsoft des fonctionnalités pour que l'obtention soit simple. Il y a une petite dizaine d'étapes à franchir avec des messages explicites. Si nous n'avions rien fait, l'internaute aurait eu énormément de messages du centre de sécurité de ce nouvel OS ', précise Alain Issarni.
La DGI a aussi tenu compte de la multiplication des navigateurs et des systèmes d'exploitation. Elle a mis en ligne différents documents permettant de connaître les configurations recommandées.
Actu précédente
Avis sur «Un e-mail des impôts qui surprend les experts en sécurité»
Faut pas exagérer non plus !
de
Richard123
, posté le 17 mai 2007 à 09h32
On peut reçevoir de faux emails de n'importe quelle soucieté, si l'email des impôts ne contient pas de lien hypertext celui de la fausse email pourrait en contenir. Moi j'ai reçu par courrier en format papier tout ce qu'il fallait pour me connecter, mais c'est vrai que c'est bien de vérifier qu'on soit bien sur impots.gouv.fr ! D'ailleurs firefox m'a prévenu d'un faux site paypal surlequel j'ai failli m'inscrire l'autre jour !
alerter le modérateur
Ceci n'est pas exagéré !
de
Zeiht
, posté le 20 juin 2007 à 15h07
Il y a un an, j'ai reçu également un mail officiel des Impôts.
Pourtant, le lien qui était fourni était erroné : il manquait, je crois, le "www." dans l'adresse, ce qui faisait arriver sur une page vide.
Un comble : il aurait été possible à des personnes mal intentionnées de récupérer le nom de domaine et de s'en servir à des fins malhonnêtes... pour peu qu'elles osent se froter au Fisc ;)
Pourtant, le lien qui était fourni était erroné : il manquait, je crois, le "www." dans l'adresse, ce qui faisait arriver sur une page vide.
Un comble : il aurait été possible à des personnes mal intentionnées de récupérer le nom de domaine et de s'en servir à des fins malhonnêtes... pour peu qu'elles osent se froter au Fisc ;)
alerter le modérateur
Justement Richard 123
de
invité95789
, posté le 17 mai 2007 à 20h23
C'est la raison pour laquelle le centre des impôts ne devrait jamais envoyer de courrier de la sorte. Il pourrait ainsi préciser sur son site : "Le centre des impôts envoie des e-mails au format txt, sans lien hypertexte, sans photos gif, sans pièces-jointes".
Et ainsi, à chaque fois qu'on recevrait un e-mail soi-disant en provenance du site mais contenant un lien (ou pièce-jointe, ou autre) on serait immédiatement sûr qu'il s'agit d'un faux. C'est le b.a-ba de la sécurité, pratiquement toutes les banques, maintenant, mettent en garde leurs utilisateurs en précisant que jamais, jamais ils ne réclament leur code personnel par e-mail.
Alors moi quand je lis : « Nous pouvons les enlever mais ca ne serait pas un gage supplémentaire de sécurité car cela n'empêcherait pas une personne malveillante d'envoyer un faux e-mail de la DGI et exploitant des photos piégées », indique Alain Issarni."
Moi, je dis, on est mal barré.
Vous imaginez un directeur de banque qui dirait : "ouais, bon, d'accord, on va arrêtez de demander leur code à nos utilisateurs par e-mail, mais ça servira à rien parce que des faux-sites pourront très bien le faire à notre place. :??:
Déjà, le site des impôts était très sécurisé il y a deux ans, et accessible sous n'importe quel navigateur. Maintenant, il n'est plus accessible sous Opera (enfin si, mais après un tour de passe-passe), on peut se demander où ils vont.
Et ainsi, à chaque fois qu'on recevrait un e-mail soi-disant en provenance du site mais contenant un lien (ou pièce-jointe, ou autre) on serait immédiatement sûr qu'il s'agit d'un faux. C'est le b.a-ba de la sécurité, pratiquement toutes les banques, maintenant, mettent en garde leurs utilisateurs en précisant que jamais, jamais ils ne réclament leur code personnel par e-mail.
Alors moi quand je lis : « Nous pouvons les enlever mais ca ne serait pas un gage supplémentaire de sécurité car cela n'empêcherait pas une personne malveillante d'envoyer un faux e-mail de la DGI et exploitant des photos piégées », indique Alain Issarni."
Moi, je dis, on est mal barré.
Vous imaginez un directeur de banque qui dirait : "ouais, bon, d'accord, on va arrêtez de demander leur code à nos utilisateurs par e-mail, mais ça servira à rien parce que des faux-sites pourront très bien le faire à notre place. :??:
Déjà, le site des impôts était très sécurisé il y a deux ans, et accessible sous n'importe quel navigateur. Maintenant, il n'est plus accessible sous Opera (enfin si, mais après un tour de passe-passe), on peut se demander où ils vont.
alerter le modérateur
Images et failles
de
Ji1
, posté le 18 mai 2007 à 11h52
Bonjour,
Je cite l'article :
"Les experts [...] ont souligné la présence [...] de deux photos [...] aux formats JPG et GIF. [...] Là encore, ces choix surprennent lorsque l'on connaît le nombre de failles de sécurité liées à ces formats."
Des failles de sécurité liées à ces formats existent, soit.
Cependant je ne vois vraiment pas en quoi inclure une image (n'exploitant pas cette faille, cela va de soi) dans un mail relève d'un choix 'surprenant', d'un point de vue sécurité.
Quelques éclaircissements de la part des experts ne seraient pas superflus.
Je cite l'article :
"Les experts [...] ont souligné la présence [...] de deux photos [...] aux formats JPG et GIF. [...] Là encore, ces choix surprennent lorsque l'on connaît le nombre de failles de sécurité liées à ces formats."
Des failles de sécurité liées à ces formats existent, soit.
Cependant je ne vois vraiment pas en quoi inclure une image (n'exploitant pas cette faille, cela va de soi) dans un mail relève d'un choix 'surprenant', d'un point de vue sécurité.
Quelques éclaircissements de la part des experts ne seraient pas superflus.
alerter le modérateur
Et le certificat !
de
sklansky
, posté le 18 mai 2007 à 10h02
Quelque chose d'autre peut être souligné : pour effectuer sa déclaration ou accéder à ses informations, il faut au préalable accepter le certificat fourni par ce site.
Mais c'est un certificat "auto-déclaré" par la direction des impots, c'est à dire qu'il n'a pas été validé par une autorité de certification indépendante (comme verisign ou keynectis). Donc chaque utilisateur voit apparaitre une alerte lui indiquant que le certificat n'est pas émis par une autorité de certification reconnue, et il doit alors confirmer lui-même que le certificat provient d'un site de confiance.
Et c'est là le problème : si l'utilisateur avait été redirigé sur un faux site des impots, avec un faux certificat auto-déclaré (n'importe qui peut faire un certificat de ce type), il aurait exactement la même alerte.
Les impots justifient la non-utilisation d'une autorité de certification indépendante par le fait que cela revient à faire confiance à une entité extérieure (comprendre "américaine").
Mais le risque serait moins élevé que de continuer à faire confiance aux utilisateurs pour reconnaitre le certificat émis par les impots.
Mais c'est un certificat "auto-déclaré" par la direction des impots, c'est à dire qu'il n'a pas été validé par une autorité de certification indépendante (comme verisign ou keynectis). Donc chaque utilisateur voit apparaitre une alerte lui indiquant que le certificat n'est pas émis par une autorité de certification reconnue, et il doit alors confirmer lui-même que le certificat provient d'un site de confiance.
Et c'est là le problème : si l'utilisateur avait été redirigé sur un faux site des impots, avec un faux certificat auto-déclaré (n'importe qui peut faire un certificat de ce type), il aurait exactement la même alerte.
Les impots justifient la non-utilisation d'une autorité de certification indépendante par le fait que cela revient à faire confiance à une entité extérieure (comprendre "américaine").
Mais le risque serait moins élevé que de continuer à faire confiance aux utilisateurs pour reconnaitre le certificat émis par les impots.
alerter le modérateur
Question déjà abordée dans un autre article
de
fg03
, posté le 21 mai 2007 à 14h35
Il avait été déjà mentionné ce problème de la maisin mise américauine sur les organismes tels que Verisign.
La Frfance n'a plus qu'à se doter d'un organisme de certification.
On parle de messagerie... personnellement je dispose d'un certificat pour la messagerie.. mais quand je l'utilise avec des organismes publics.. souvent on me dit qu'ils ont pas reçu mon mail....
A quand la promotion des certificats pour la messagerie ?
La Frfance n'a plus qu'à se doter d'un organisme de certification.
On parle de messagerie... personnellement je dispose d'un certificat pour la messagerie.. mais quand je l'utilise avec des organismes publics.. souvent on me dit qu'ils ont pas reçu mon mail....
A quand la promotion des certificats pour la messagerie ?
alerter le modérateur
Mot de passe ?
de
Alf31
, posté le 23 mai 2007 à 08h47
Cela fait plusieurs fois que je lis qu'il faut un mot de passe...
J'ai effectué la procédure d'obtention d'un nouveau certificat, eh bien, je me connecte sans mot de passe...? Juste avec le certificat...!
J'ai effectué la procédure d'obtention d'un nouveau certificat, eh bien, je me connecte sans mot de passe...? Juste avec le certificat...!
alerter le modérateur
mot de passe
de
Sja
, posté le 23 mai 2007 à 14h28
Il y a bien un mot de passe mais seulement si on a faire l'installation en suivant exactemenyt la procedure décrite par la DGI, en cliquant sur l'option pour mettre soi même un mot de passe sur le certificat de poste lors de son obtention. Par défaut sinon le certificat est sans mot de passe. de toute facon ce n'est qu'un mot de passe autorisant l'utilisation du certificat donc interne au PC Utilisateur.
alerter le modérateur
Utilisateur de Kaspersky version 6
de
pelot
, posté le 29 mai 2007 à 10h05
Sur des forums j'ai remarqué que nous étions nombreux à nous plaindre de ne pas pouvoir valider notre déclaration d'impôts car il y a une alerte.
En questionnant la DGI, celle-ci nous réponds de déactiver l'antivirus pendant la déclaration ????
C'est cela leur site sécurisé ?????
En questionnant la DGI, celle-ci nous réponds de déactiver l'antivirus pendant la déclaration ????
C'est cela leur site sécurisé ?????
alerter le modérateur
publicité
à lire aussi
ACTUALITÉS
SUR LES MÊMES THÈMES
