Phishing - Faux courriel du fisc - Mesures
criminalité informatique
administration fiscale
protection des données
19/4/2013 | Envoi question |
19/8/2013 | Réponse |
L'année dernière, nombre de Belges ont reçu un courriel donnant l'apparence de provenir du fisc. Envoyé par [email protected], il indiquait que le contribuable pouvait obtenir un remboursement s'il ou elle complétait un document en lien. Le particulier devait donc indiquer la référence de son compte, ce qui permettait ensuite aux délinquants d'effectuer des payements grâce aux données obtenues. Le logo du Service public fédéral (SPF) Finances figurait à différents endroits, pour faire apparaître le document comme légitime. À la conclusion de cette manœuvre trompeuse, l'utilisateur était aiguillé vers le site du Service public fédéral (SPF) Finances.
En mars 2013, des actes de phising analogues ont été signalés. À nouveau, un courriel frauduleux a été envoyé en vue de s'approprier des données bancaires.
Je souhaiterais poser les questions suivantes au ministre :
1) Ce problème a-t-il suscité une réaction de sa part ? Le site et l'adresse électronique ont-ils été supprimés ?
2) Y avait-il une grande différence avec les faux courriels de l'an dernier, ou bien le problème est-il similaire ?
3) Est-on informé de la provenance de ces courriels et des auteurs ? Étant donné les similitudes, pourrait-il s'agir des mêmes personnes ?
4) Dispose-t-il de statistiques sur les plaintes à ce sujet ? Combien de personnes ont-elles signalé ces pratiques récentes, par exemple via le centre de contact, et combien en ont-elles été les victimes ? Peut-il communiquer ces chiffres ?
5) Les délinquants se sont-ils attaqués à ses services, ou bien les actions de ceux-ci ne visent-elles que les particuliers ?
6) Le ministre a-t-il une idée de la façon dont les délinquants se procurent les adresses électroniques ?
7) À quelle fréquence le SPF Finances est-il en butte à ce type de cyberdélinquance ? S'agit-il d'actes isolés ou d'un problème constant ?
Le Service public fédéral (SPF) Finances a reçu cinq messages d'information faisant état du problème, entre le 25 mars et le 15 avril 2013. Ces messages d'information comprenaient une description, généralement incomplète, du problème. Pourtant, une information complète est indispensable pour analyser le problème et prendre des actions concrètes.
Les informations reçues concernaient un message en langue française, deux messages en langue néerlandaise et deux messages en langue anglaise. Le message en langue française présentait de grandes similitudes avec un message qui avait été diffusé à Pâques 2012 lequel a fait l'objet, le 14 avril 2012, d'une question parlementaire du député M. Franco Seminara (question 323 – Document 53 2011201208341). Les autres messages semblent constituer un phénomène nouveau.
A partir des informations disponibles, on peut décrire le problème comme suit :
le message porte une adresse d'expédition : [email protected]. Il s'agit de l'adresse du « Contact center » du SPF Finances,
le message contient un lien vers le formulaire de demande de remboursement à télécharger depuis le site http://fiscus.fgov.ro. Ce site se situe en Roumanie. Le nom du site est comparable au nom du site du SPF Finances, http://fiscus.fgov.be. La présentation du formulaire s'inspire de la présentation de la page d'information trouvée sur le site des Finances (couleur de fond de page et bandeau d'en-tête identiques).
L'auteur de cette arnaque n'avait nullement besoin de pirater les systèmes informatiques du SPF Finances pour accomplir son méfait. Tout ce qu'il avait à faire était de prendre connaissance des informations relatives au SPF Finances, figurant sur Internet, de recopier certaines pages d'information, et d'adapter ces copies pour répondre à ses propres besoins. Le SPF Finances ne dispose donc d'aucun moyen de détecter un tel phénomène. Il en a connaissance par les plaintes de citoyens ou les informations provenant d'autres institutions Federal Computer Crime Unit (FCCU )Computer Emergency Response Team (CERT).
1) Le fait a été signalé à la police fédérale via le site www.ecops.be.
Des contacts directs ont eu lieu avec la FCCU.
L'accès au site litigieux a été bloqué par le CERT depuis le 15 avril 2013..
Le SPF Finances a placé, dès le 26 mars, un message d'alerte sur son site Internet, sous le titre « emails frauduleux ».
Un complément d'information (copie complète du message) a été demandé, le 9 avril, à un des premiers plaignants, en vue d'une analyse plus approfondie du problème. Le SPF Finances n'a pas reçu de réponse.
2) Dans les deux cas, le principe de la fraude est de communiquer, à la victime, un formulaire de demande de remboursement l'invitant à introduire les données confidentielles de sa carte de crédit.
Sur la base des informations partielles disponibles, une information sur les cinq reçues ressemblait fortement aux messages de 2012 ;
le montant de remboursement proposé était identique.
le formulaire était annexé au message, comme en 2012.
le formulaire était en français.
Les quatre autres messages relèvent d'une démarche différente :
le message était en néerlandais ou en anglais,
le formulaire devait être téléchargé.
La technique de vol de données reste néanmoins fort semblable dans les deux cas.
3) Le SPF Finances ne dispose pas d'informations concernant l'origine réelle des messages.
En 2012, les données collectées étaient transférées vers un site situé au Koweit.
En 2013, le formulaire était téléchargé depuis un site situé en Roumanie.
Il est possible que les deux messages proviennent d'une même organisation criminelle internationale.
L'accès aux deux sites identifiés a été bloqué avec l'aide du CERT.
La technique de vol de données reste néanmoins fort semblable dans les deux cas. La qualité des messages et leur vraisemblance ont toutefois été fortement améliorées.
Une information sur les cinq reçues présentait une forte ressemblance avec le message de 2012. Ou bien ce message avait la même origine, ou bien il s'agit d'un ancien message qui continue à circuler.
4) Le SPF Finances n'a reçu que cinq informations concernant le problème en cours. Quatre informations provenaient de citoyens ou de sociétés ayant reçu le message, et une information provenait du CERT.
Dans le cadre des contacts que le SPF Finances a eu avec la FCCU, on a appris que des messages de ce genre circulent sur Internet depuis des mois. Ces messages visent diverses institutions financières.
Dans la mesure où le système informatique du SPF Finances n'intervient pas dans cette arnaque, il n'est pas possible de la détecter ou d'en mesurer la fréquence. Les seules informations dont le SPF Finances dispose sont les plaintes des citoyens.
5) Le SPF Finances n'est pas une victime directe de la fraude, dans la mesure où, à aucun moment, ses systèmes informatiques n'ont été piratés. Il n'y a eu ni vol ni altération des données des Finances, ni intrusion dans un système du SPF Finances. Les seuls faits dont le SPF Finances peut se prétendre victime sont l'usurpation d'identité et la contrefaçon d'une page Web.
La fraude vise clairement les contribuables.
6) L'adresse mail utilisée est l'adresse du « Contact center » du SPF Finances. Cette information est publique.
Il est relativement simple de falsifier l'adresse d'expédition d'un email, sans pour autant devoir faire intervenir les systèmes informatiques du titulaire de l'adresse.
7) En 2012, le SPF Finances n'a reçu qu'un seul message l'informant de la fraude (en plus d'un avis diffusé par la télévision à l'initiative de la FCCU).
En 2013, le SPF Finances a reçu cinq messages l'informant de la fraude.
Selon des informations reçues de la FCCU, celle-ci observe, depuis quelques mois, une prolifération d'arnaques de ce type visant à tour de rôle diverses institutions financières.