Passer au contenu

Un e-mail des impôts qui surprend les experts en sécurité

Le courriel envoyé par la Direction générale des impôts aux internautes qui télédéclarent leurs revenus est jugé insuffisamment sécurisé.

‘ Cette année encore, pour votre déclaration de revenus, ayez le réflexe Internet. ‘ Comme l’an passé, la Direction générale des impôts (DGI) s’adresse aux contribuables qui
ont opté pour la télédéclaration de leurs revenus, afin de les inviter à refaire de même en 2007.
Le service est ouvert depuis le 2 mai. La DGI prévoit entre huit et dix millions de télédéclarations, contre 5,7 millions en 2006.Mais cet e-mail fait figure de contre-exemple en matière de sécurité informatique, ce qui peut étonner pour une administration comme celle de la fiscalité. Il est la preuve qu’organiser une communication simple et conviviale ne va pas
sans problèmes.

Deux liens hypertexte en cause

Côté pratique, ce message contient en effet deux liens hypertexte, qui invitent les internautes à se rendre
sur le site des impôts. L’internaute n’a aucun moyen de savoir que ce courriel est bien envoyé par la DGI, et non pas par un pirate qui aurait singé l’adresse officielle pour
l’expédier vers un faux site imitant celui de la DGI. L’occasion de récupérer des données personnelles, ou d’installer sur le PC de la personne piégée des chevaux de Troie. Au moment où
le phishing fait parler de lui, cet envoi a surpris des experts en sécurité que nous avons consultés.‘ On peut imaginer une opération d’abus de confiance pour installer un virus sur le poste de l’utilisateur ou récupérer les données personnelles des contribuables ‘, imagine l’un
d’entre eux.Du côté de la DGI, on admet que les spécialistes de la sécurité puissent être surpris. ‘ Nous ne recommencerons certainement pas l’insertion d’un lien hypertexte dans notre courriel car nous sommes
sensibles aux affaires de phishing. C’est l’exemple typique des problèmes de convivialité ‘,
explique Alain Issarni, directeur des systèmes d’information de la DGI.

Présence de deux photos

Cette dernière aurait pu opter pour un message avec un certificat de confiance, comme celui utilisé par la Deutsche Postbank
(voir notre article). La DGi aurait pu aussi envoyer un e-mail ne contenant aucun lien actif. Elle a donc préféré insérer des liens hypertexte, en comptant sur l’éducation des
internautes. ‘ Mais nous sommes conscients que tous ne sont pas encore assez sensibilisés à ces problèmes de sécurité et à la nécessité d’avoir un lien https lors d’une connexion
sécurisée ‘,
reconnaît Alain Issarni.Les experts en sécurité que nous avons interrogés ont également souligné la présence, dans ce courriel de la DGI, de deux photos : le logo de Marianne et celui du ministère, aux formats JPG et GIF. Et si le logiciel de messagerie
de l’internaute est capable de l’afficher, peut aussi apparaître une image de type WMZ surimprimée. Là encore, ces choix surprennent lorsque l’on connaît le nombre de failles de sécurité liées à ces formats.
‘ Nous pouvons les enlever mais ca ne serait pas un gage supplémentaire de sécurité car cela n’empêcherait pas une personne malveillante d’envoyer un faux e-mail de la DGI et exploitant des photos
piégées ‘,
indique Alain Issarni.Le responsable informatique de la DGI tient par ailleurs à préciser que la
télédéclaration en elle-même est ‘ très sécurisée puisqu’elle utilise à la fois le certificat qui est
sur le PC du contribuable et un mot de passe pour accéder à son espace personnel sur notre site ‘.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Philippe Richard