● Kaspersky FR 📅 28/04/2026 à 14:48

Spam et phishing visant les contribuables

Cybersécurité 👤 Olga Altukhova (Svistunova)
Illustration
Dans de nombreux pays, la déclaration d’impôts sur le revenu se fait généralement au printemps. Ces documents constituent une véritable mine d’or pour les personnes mal intentionnées, car ils contiennent une multitude de données personnelles, comme les antécédents professionnels, les revenus, le patrimoine ou encore les coordonnées bancaires, pour n’en citer que quelques-unes. Il n’est pas surprenant que les escrocs redoublent d’efforts à cette période. Internet regorge actuellement de faux sites Internet conçus pour ressembler trait pour trait à ceux des administrations publiques et des autorités fiscales. Entre les échéances qui approchent et les calculs à effectuer, la précipitation pour tout terminer à temps peut faire baisser la vigilance. Dans l’agitation, on peut facilement passer à côté de signes indiquant que le site sur lequel vous saisissez vos données financières n’a aucun lien avec l’administration fiscale, ou que le fichier que vous venez de télécharger, censé provenir d’un contrôleur fiscal, est en réalité un programme malveillant. Dans cet article, nous vous expliquons comment ces sites frauduleux imitant l’administration fiscale opèrent dans différents pays et ce qu’il faut absolument éviter de faire pour protéger votre argent et vos informations confidentielles. Phishing fiscal Ces derniers mois, des pirates ont mis en place de faux sites d’administration fiscale dans de nombreux pays, notamment les portails officiels du gouvernement allemand, autrichien, brésilien, chilien, colombien, français et suisse. Sur ces sites frauduleux, les escrocs récupèrent vos identifiants d’accès à des services officiels et dérobent vos données personnelles avant de vous proposer un remboursement fiscal, à condition que vous communiquiez les données de votre carte de crédit. Dans certains cas, cette prestation frauduleuse est même facturée. Un site imitant l’administration fiscale du Chili. La victime est invitée à saisir les informations relatives à sa carte de crédit afin de recevoir un remboursement fiscal important, d’environ 375 dollars américains. En réalité, les fonds sont détournés du compte de la victime pour être directement transférés aux escrocs Parfois, cette tactique consiste à formuler des accusations au nom d’organismes gouvernementaux. Sur l’image ci-dessous, par exemple, un » chef du contrôle fiscal » à Paris informe la victime qu’elle a fourni des informations incomplètes concernant ses revenus. Pour éviter toute pénalité, l’utilisateur est invité à télécharger un document et à y apporter rapidement les corrections nécessaires. En réalité, ce fichier PDF renferme le pire : un programme malveillant. Au lieu d’un document officiel de l’administration fiscale française, l’utilisateur découvre un programme malveillant dissimulé dans le fichier PDF En Colombie, un faux site de la Direction nationale des impôts et des douanes invite également les utilisateurs à télécharger des documents qui doivent être » déverrouillés à l’aide d’une clé de sécurité « . En réalité, il s’agit simplement d’une archive ZIP malveillante protégée par un mot de passe. Après saisie du mot de passe, l’utilisateur ouvre une archive malveillante qui infecte son appareil Au-delà des sites de phishing imitant des ressources officielles, nos experts ont découvert des sites Internet frauduleux qui promettent des services payants pour remplir et vérifier des documents fiscaux, mais qui, en réalité, volent des données sensibles, comme les numéros d’identification fiscale (NIF). Au Brésil, des escrocs proposent leur aide pour remplir les déclarations d'impôts. Pour les contacter, l'utilisateur doit indiquer son nom, son numéro de téléphone, son adresse, sa date de naissance, son adresse email et son numéro d'identification fiscale dans un formulaire prévu à cet effet. La communication d'un numéro d'identification fiscale expose la victime à des risques de demandes de prêt frauduleuses, de piratage de comptes sur des sites administratifs et d'autres attaques par ingénierie sociale Un autre site d'escroquerie brésilien. Si l'on en croit les pirates, ceux-ci traitent chaque année 60 millions de demandes de remboursement d'impôt, ce qui représente 28 % de la population brésilienne Revenus en cryptomonnaies exonérés d’impôt Les détenteurs de cryptomonnaies sont devenus une cible privilégiée pour les pirates. De fausses autorités fiscales allemandes exigent des détenteurs de portefeuilles qu’ils » vérifient leurs avoirs en actifs numériques « , en invoquant la réglementation européenne à des fins de calcul de l’impôt. Et bien sûr, il y a un » côté positif » : il s’avère que les gains en cryptomonnaies seraient exonérés d’impôt ! Toutefois, pour bénéficier de cet avantage généreux, les utilisateurs doivent suivre une procédure de » vérification « . Le site promet même de chiffrer les données à l’aide d’un » protocole SSL 2048 bits « . Pour mener à bien le processus de » vérification « , les utilisateurs sont invités à renseigner leur phrase secrète, une séquence unique de mots associée à un portefeuille de cryptomonnaies qui permet de récupérer l’intégralité des fonds. Cette demande s’accompagne d’une menace : tout refus de fournir les données entraînera de lourdes conséquences juridiques, comme des amendes pouvant aller jusqu’à un million d’euros ou des poursuites pénales. Une annonce publiée sur le faux portail ELSTER affirme que les revenus issus des cryptomonnaies sont exonérés d'impôt après « vérification » et que le « service des impôts » n'a pas d'accès direct aux portefeuilles des utilisateurs. Faut-il y croire ? Tout d'abord, l'utilisateur est invité à saisir ses informations personnelles... … Ils choisissent ensuite comment vérifier leurs avoirs en cryptomonnaies : en associant un portefeuille de cryptomonnaies ou un compte sur une plateforme d'échange. Voici quelques-uns des services visés par les escrocs : Ledger, Trezor, Trust Wallet, BitBox02, KeepKey, MetaMask, Phantom et Coinbase Enfin, la victime est invitée à communiquer sa phrase secrète, ce qui donne aux escrocs le contrôle total du portefeuille. Les pirates prennent soin d'avertir la victime de s'assurer que personne ne regarde son écran, tout en la menaçant de sanctions juridiques inexistantes en cas de non-respect Les pirates ont également mis en place un stratagème similaire à l’encontre des utilisateurs français. Ils ont créé un » portail de conformité fiscale pour les cryptomonnaies » fictif, qui imite la mise en page du site Internet du ministère français de l’Économie et des Finances. Le site de phishing exige de manière insistante que les résidents français remplissent une » déclaration d’actifs numériques « . Une fois que l’utilisateur a renseigné ses informations personnelles, les escrocs lui demandent soit de saisir manuellement sa phrase secrète, soit de » lier » son portefeuille cryptographique au portail. S’il va jusqu’au bout, ses portefeuilles MetaMask, Binance, Coinbase, Trust Wallet ou WalletConnect seront vidés. Le site de phishing exige fermement que les résidents français fournissent une « déclaration d'actifs numériques » (traduction : ils veulent pirater vos comptes de cryptomonnaies) Une fois que les données personnelles ont été renseignées, les escrocs proposent soit de saisir manuellement une phrase secrète, soit de « lier » un portefeuille au portail L’IA peut-elle vous aider à remplir votre déclaration d’impôts ? À l’heure d’une IA à la portée de tous, capable de générer instantanément du texte et de remplir des feuilles de calcul, la tentation est grande de tout lui confier. Malheureusement, cette approche peut avoir de graves conséquences. Tout d’abord, tous les chatbots courants traitent vos données sur leurs propres serveurs, ce qui expose vos informations confidentielles à un risque de fuite. Deuxièmement, ils commettent parfois des erreurs extrêmement stupides, ce qui peut causer de réels problèmes avec le fisc. Avant de divulguer à un chatbot ou à un agent d’IA le montant de vos revenus de l’année dernière, avec toutes les informations personnelles et bancaires détaillées qui vont de pair, rappelez-vous à quelle fréquence des fuites se produisent au sein des services pilotés par l’IA et évaluez les risques. Ne dévoilez pas vos revenus à l’IA, ne lui communiquez pas d’informations personnelles, comme votre nom ou votre adresse, et n’envoyez en aucun cas des photos ou des numéros de documents importants, comme des passeports, des informations d’assurance ou des numéros de sécurité sociale. Les fichiers contenant des informations confidentielles doivent être conservés dans des conteneurs chiffrés, comme Kaspersky Password Manager. Si vous souhaitez tout de même utiliser des outils d’IA, exécutez-les en local. C’est possible gratuitement, même sur un ordinateur portable standard, et nous avons déjà expliqué comment configurer des modèles de langage locaux en prenant DeepSeek comme exemple. Cependant, la qualité des résultats fournis par ces modèles est souvent médiocre. Il est fort probable que la vérification minutieuse de chaque chiffre d’une réponse générée par l’IA prenne plus de temps que de simplement remplir les documents à la main. N’oubliez pas que c’est vous qui êtes responsable vis-à-vis de l’administration fiscale en cas d’erreurs, et non l’IA. Enfin, méfiez-vous des modèles d’IA utilisés à des fins de phishing qui proposent une » aide » pour remplir votre déclaration d’impôts. Les experts de Kaspersky ont découvert des sites qui invitent les utilisateurs à envoyer leurs factures fiscales, sous prétexte de générer automatiquement des déclarations fiscales et des demandes de déduction. En réalité, les pirates collectent ces données personnelles pour les revendre sur le Dark Web ou pour les exploiter dans le cadre de futures attaques de phishing, d’actes de chantage et d’extorsion. Les créateurs d’un faux outil d’IA invitent les utilisateurs à transférer leurs documents fiscaux et les assurent que le site ne conserve aucune donnée personnelle. En réalité, toutes les informations saisies (nom, adresse, documents, personne de contact, numéro de téléphone) finissent entre les mains de cybercriminels Rappelez-vous que tous les services d’IA fiables émettent un avertissement clair aux utilisateurs leur demandant de ne pas partager de données confidentielles, et les documents fiscaux entrent sans aucun doute dans cette catégorie. Tous les outils d’IA qui prétendent vous aider à remplir vos déclarations fiscales ne sont rien d’autre qu’une arnaque. Comment vous protéger, vous et vos données Remplissez vous-même votre déclaration d’impôts. Le risque de tomber sur des escrocs est extrêmement élevé. Même si une société de conseil est tout à fait sérieuse, vous lui communiquez inévitablement un dossier complet à votre sujet : les détails de votre passeport, des informations sur votre emploi et vos revenus, votre adresse, et bien plus encore. N’oubliez pas que même les services les plus fiables ne sont pas à l’abri de piratages et de violations des données. Méfiez-vous des faux sites Internet. Utilisez une solution de sécurité fiable qui vous empêche d’accéder à des sites de phishing et bloque le téléchargement de fichiers malveillants. Veillez à ce que tous vos documents importants soient chiffrés. Stocker des photos, des notes ou des fichiers sur votre bureau, ou des messages favoris dans une application de messagerie, n’est pas une manière sécurisée de gérer des données sensibles. Un coffre-fort numérique sécurisé comme Kaspersky Password Manager permet de stocker bien plus que des mots de passe et des informations de carte bancaire. Il permet également de protéger des documents et même des photos. Méfiez-vous de l’IA. Même les chatbots les plus avancés peuvent faire des erreurs et avoir des » hallucinations « , sans compter que les développeurs peuvent, en théorie, lire toutes les conversations que vous avez avec leur IA. Si vous devez absolument utiliser l’IA, installez et exécutez une version locale sur votre ordinateur. Tenez-vous-en aux canaux officiels uniquement. Le » chef des inspecteurs des impôts » de votre pays ou de votre ville ne vous enverra certainement pas de message ; les hauts fonctionnaires ont des choses plus importantes à faire. Communiquez uniquement par les voies officielles avec les autorités fiscales et vérifiez soigneusement l’identité de l’expéditeur de tout email reçu. La plupart du temps, même une légère différence dans le nom ou l’adresse est un signe révélateur d’une campagne de phishing. En savoir plus sur le phishing et la sécurité des données : Phishing et spam : les campagnes les plus incroyables de 2025 Comment les escrocs et les pirates spécialisés dans le phishing exploitent-ils l’IA ? Qu’advient-il des données volées lors d’une attaque de phishing ? Comment disparaître d’Internet Pourquoi les courtiers en données établissent-ils des dossiers sur vous, et comment les en empêcher ?
← Retour