Au procès des deux suspects du piratage des impôts de l’été 2019

L’attaque informatique avait obligé la direction générale des finances publiques à verrouiller plus sérieusement l’accès des particuliers à leur espace personnel. Quatre ans plus tard, cette affaire de fraude au crédit d’impôt est proche de sa conclusion judiciaire. Après deux jours d’audience, lundi 20 et mardi 21 mars, les magistrats de la 13e chambre correctionnelle du tribunal judiciaire de Paris viennent de mettre en délibéré leur décision au 15 mai prochain, a appris ZDNet.fr.

Deux Français d’une quarantaine d’années sont poursuivis dans ce dossier judiciaire de piratage, dévoilé à l’époque par Le Canard enchaîné. Plus précisément, ils sont soupçonnés d’avoir commis deux infractions, à savoir une atteinte à un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat commise en bande organisée, et une escroquerie en bande organisée.

Des accusations qui se sont traduites par des réquisitions contre les deux prévenus, de trois ans de prison, dont deux avec sursis. De son côté, la défense – un seul prévenu était représenté par un avocat, Me Jean-François Morant – a reconnu le piratage informatique, mais a plaidé la relaxe sur l’escroquerie.

Achats de couples identifiant-mot de passe

Au début de l’été 2019, la direction générale des finances publiques avait été alertée par plusieurs particuliers. Ces derniers venaient de découvrir la falsification de leurs déclarations. Quelqu’un avait ajouté de fortes sommes dans l’une des annexes de la liasse, comme par exemple 249 000 euros de travaux, ouvrant droit à un crédit d’impôt.

L’administration, qui s’était au départ inquiétée d’un éventuel sabotage ou d’une opération visant à la discréditer, avait rapidement compris le mode opératoire des attaquants. Comme relevé dans son communiqué de presse le 20 août 2019, ces derniers s’appuyaient sur le piratage préalable de 11 000 comptes de messageries de particuliers.

Les deux prévenus avaient en effet obtenu l’accès à ces messageries Free et Orange grâce à des listes identifiant-mot de passe. Outre des listes gratuites, représentant environ 90 % des messageries piratées, une poignée de combo-list supplémentaires avaient été achetées pour une centaine d’euros.

Attaque automatisée

Selon l’accusation, cette matière première avait ainsi permis de nourrir une tentative de fraude à grande échelle contre environ 2 000 contribuables. L’un des deux prévenus, un informaticien âgé de 45 ans, avait soigneusement préparé pendant deux semaines l’automatisation de l’attaque en utilisant un service en ligne accessible gratuitement à l’essai, Leapwork.

Grâce à cette application, l’informaticien avait en effet mis en place un enchaînement d’actions à mener, allant de la résolution d’un captcha à la suppression de messages sur les e-mails piratés en passant par des clics automatiques. Un process qui permettait au final d’obtenir le numéro fiscal des victimes du piratage des boîtes e-mail et de réinitialiser leur mot de passe utilisé sur le site des impôts.

Une fois l’accès frauduleux à l’espace particulier obtenu, le programme permettait de modifier à la volée une annexe de la déclaration d’impôts relative au crédit d’impôt pour travaux, et enfin de modifier le relevé d’identité bancaire associé au compte. « La déclaration ne pouvait pas être finalisée s’il n’y avait pas d’IBAN », précise à la barre l’informaticien, un ingénieur expérimenté qui avait travaillé en Californie et en freelance depuis l’Ile-de-France.

La logistique complexe des relevés d’identité bancaire

Un relevé fictif avait alors été ajouté au processus pour pallier l’absence de communication d’un relevé d’identité bancaire par des particuliers victimes du piratage. Une attaque informatique qui s’est finalement arrêtée là. « On se rend compte qu’il y a des problèmes logistiques et que c’est encore une fois du blabla », résume l’informaticien devant les juges.

Selon l’accusation, c’est son complice, un consultant pour l’industrie pharmaceutique vivant dans le Nord de la France, qui devait ouvrir des comptes bancaires en Belgique permettant de recueillir des fonds. Mais cet hacktiviste sur son temps libre – du trolling pour le prévenu, du cyberharcèlement pour le parquet – considéré par les impôts comme le maître d’œuvre de l’opération, va buter sur cette manœuvre logistique compliquée. Seul un compte sera finalement ouvert avec de faux documents d’identité achetés en ligne.

225 000 euros de préjudice

Entretemps, l’administration fiscale, qui s’est rendu compte des intrusions, a fermé temporairement l’accès à son service le temps d’identifier la faille. Selon son avocat, Me Renaud Le Gunehec, les 1 109 déclarations falsifiées repérées ouvraient droit à près de 3 900 euros de crédit d’impôt, en moyenne.

Soit un magot, resté théorique, de plus de 4 millions d’euros. Mais même si ce casse n’a pas abouti, il a tout de même coûté cher à l’administration. Elle a chiffré son préjudice à plus de 225 000 euros. Une somme correspondant au salaire des 2 620 heures travaillées pour résoudre la crise, et aux 20 000 euros de préjudice moral demandés.

L’enquête, confiée à la DGSI au vu de la sensibilité de la victime, un opérateur de service essentiel, avait permis d’identifier entre début mai et fin juin 2019 un flot d’adresses IP suspectes en provenance d’un réseau privé virtuel. L’adresse IP de l’informaticien a également été identifiée dans le lot, sans doute en raison de microcoupures de son VPN.

Quant à son complice, avec qui il entretenait une correspondance fournie, il était également le « patient zéro » de l’opération. Sa déclaration d’impôts était la première à avoir été modifiée, en cochant la quasi-totalité des codes correspondant à des travaux. Soit pour l’accusation une façon de tester le processus de fraude.

Activité intense sur les marchés noirs

Au-delà des intrusions sur le site de l’administration fiscale, l’enquête va également mettre en lumière l’activité intense sur les marchés noirs des deux suspects. « Ils visaient le gros lot », résume la vice-procureure Johanna Brousse. Membres de groupes de hameçonnage sur la messagerie Telegram, ils semblent ainsi s’intéresser à des arnaques relatives à la fausse certification de voitures ou à la fausse déclaration d’employés. L’un des deux est enfin soupçonné d’avoir tenté d’hameçonner des clients d’une banque.

Autant de pistes d’enquête finalement laissées de côté par la DGSI, car jugées en dehors de son cœur de métier, les affaires de piratage visant les réseaux de l’Etat ou les opérateurs d’importance vitale. « Je ne me reconnais pas dans cette période : je me suis renfermé sur moi-même et il y avait ce réconfort d’être en dehors de la réalité », explique l’informaticien à propos de ces escapades troubles sur les marchés noirs.

« On était dans une sorte de névrose collective », ajoute le second prévenu, le consultant. Pourtant, « vous gagnez assez bien votre vie, vous avez même des revenus fonciers » – des revenus locatifs tirés de plusieurs appartements – s’étonne la présidente du tribunal. « L’élément déclencheur, c’était une certaine forme d’ennui », analyse cet homme aux cheveux clairsemés, marqué par son séjour en détention.

Avant de minimiser l’ampleur des activités menées. « Il faut imaginer ces échanges comme un grand brainstorming », assure-t-il. « Si on prend les discussions de A à Z, cela donne l’impression qu’on avait créé un empire. Mais il y avait un grand écart entre ce qu’on faisait et ce qu’on disait. »

Cliquez ici pour lire l’article depuis sa source.

Laisser un commentaire