Voila un piratage qui ne passera pas inaperçu puisque c’est le fisc américain qui a été victime d’une cyberattaque qui a permis le vol des données personnelles d’exactement 104 000 contribuables. Le point d’entré des pirates informatiques a pu être identifié.
C’est plutôt rare que les institutions telles que le fisc soit visé directement par des pirates. Mais c’est pourtant ce qui s’est produit aux États-Unis, par le biais du service d’historique en ligne des impôts (intitulé « Get Transcript », ndlr), mis à disposition des américains dans le but de télécharger l’historique des déclarations d’impôts pour demander un prêt ou une subvention.
L’IRS, agence gouvernementale américaine en charge des impôts, a annoncé que les données fiscales de quelque 104 000 contribuables avaient été volées entre février et mai de cette année. La cyberattaque semble avoir été bien préparée étant donné que les pirates ont pu se ménager un accès “utilisateur” au sein du service Get Transcript en utilisant des données personnelles de contribuables réels, telles que le numéro d’assuré social, la date d’anniversaire et l’adresse postale…En somme, ils se sont servis de données privées dérobées lors de précédentes opérations de piratage afin de tenter d’attaquer le service des impôts lui-même.
La chose à retenir est que les cybercriminels étaient en mesure de répondre aux questions personnelles de vérification d’identité et de se connecter à de multiples comptes utilisateurs sans déclencher la moindre alerte.
L’attaque peut alors commencer
Une fois connecté à l’interface utilisateur, les pirates ont pu tester à loisir le système et chercher des vulnérabilités potentielles. L’IRS a constaté une forte hausse de requêtes sur son site Internet, et s’est d’abord cru victime d’une attaque de type déni de service, avant de se rendre compte que c’est le service Get Transcript qui générait ce surplus de demande. Il a immédiatement suspendu le service après l’alerte. Bien entendu, les pirates ont eu le temps d’extraire des données de contribuables (vraisemblablement via une injection SQL, ndlr) et d’en dumper une partie.
Des fraudes avancées seront commises
Avec les données privées de 104 000 contribuables américains, les pirates ont largement quoi faire pour monter toutes sortes de fraudes en ligne, visant directement les victimes. En effet, quoi de plus facile alors qu’ils connaissent toutes leurs identité ? Par ailleurs, les fraudeurs ont déjà commencé à exploiter ces données volées et des demandes de remboursements d’impôts ont été déposées au nom d’environ 15 000 victimes. Selon l’IRS, les cybercriminels auraient souhaité récolter des informations très pointues sur les contribuables afin d’ouvrir des comptes bancaires en leur nom et d’obtenir des crédits.
Leur plan est sans conteste très avancé et osé. S’ils émettent des RIB appartenant à des comptes bancaires offshores qu’ils ont créé au préalable pour les demandes de remboursement, il reste une chance que l’IRS commette l’erreur dans certain cas de verser les sommes prétendument dues… Affaire à suivre.
Les commentaires sont fermés.