Les informations fiscales de plus de deux millions de Français ont été volées à l’automne 2024, puis revendues sur le dark web. En pleine période de déclaration d’impôts, cette fuite massive suscite des inquiétudes croissantes quant à la sécurité des données personnelles et aux risques d’escroqueries ciblées.
La mise en vente de ces données intervient alors que les Français doivent déclarer leurs revenus. Ce calendrier, loin d’être anodin, laisse penser que les pirates ont attendu cette période pour maximiser l’efficacité de leurs attaques. Avec des données précises à disposition, les cybercriminels peuvent concevoir des campagnes de phishing ou des usurpations d’identité très convaincantes, en se faisant passer pour l’administration fiscale ou des conseillers en gestion de patrimoine.
Une fuite de données liée à un cabinet de défiscalisation
L’origine de la fuite remonte au 13 octobre 2024, lorsqu’un pirate est parvenu à infiltrer le système d’un centre d’appel partenaire de Reduction-Impots.fr, une société bordelaise spécialisée dans les placements financiers et la défiscalisation. L’entreprise, entièrement numérique, permet à ses clients de gérer leurs documents à distance, ce qui a facilité l’accès aux données. Les fichiers contiennent des adresses mail, numéros de téléphone et données financières détaillées, aujourd’hui entre les mains de cybercriminels.
Le fichier volé a été vendu sur une plateforme du dark web pour 3 000 dollars, indiquent nos confrères du Journal du geek. L’acheteur n’a pas été identifié, mais il dispose désormais d’un outil très puissant pour cibler des victimes avec précision. Le manque de transparence sur les failles de sécurité du centre d’appel concerné laisse craindre d’autres incidents similaires si aucune mesure corrective n’est prise.
Une menace qui s’inscrit dans un climat général de cyber-insécurité
Cette fuite survient alors que les cyberattaques se multiplient en France. Selon la CNIL, 2 500 violations de données ont été signalées sur les trois premiers mois de 2025. Parmi les victimes récentes figurent La Poste, Chronopost et Easy Cash. La combinaison de plusieurs fuites permet aux pirates de croiser les données et de créer des profils complets à des fins frauduleuses.
Face à ce type de menace, les autorités et les experts appellent à une vigilance renforcée. Il est recommandé de ne jamais fournir de données personnelles en réponse à un message non sollicité, même si celui-ci semble provenir d’un organisme officiel. En cas de doute, il convient de contacter directement l’administration par les canaux habituels. Cette affaire souligne une nouvelle fois l’urgence de renforcer les protections numériques des services traitant des informations sensibles.
