Résumé de l’incident
En décembre 2024, une vaste opération de fraude a frappé le Her Majesty Revenue and Customs (HMRC l'équivalent du Trésor Public en France), l’administration fiscale du Royaume-Uni. Des cybercriminels ont utilisé des identifiants collectés via phishing pour accéder à plus de 100 000 comptes fiscaux, soumettant ensuite de fausses déclarations de remboursement d'impôt. Le montant total détourné s’élève à 47 millions de livres sterling.
Mode opératoire des fraudeurs
Contrairement à une attaque informatique classique, cette fraude ne résulte pas d’une faille technique dans les systèmes du HMRC. Les criminels ont exploité des données personnelles recueillies frauduleusement via des campagnes d'hameçonnage, leur permettant de se connecter à des comptes fiscaux personnels, notamment ceux du régime Pay As You Earn (l'équivalent du prélèvement à la source).
Réponse du HMRC
Dès la détection de l’attaque, le HMRC a verrouillé les comptes compromis, supprimé les identifiants frauduleux et effacé les données manipulées. L’administration a informé que les contribuables affectés n’encourront aucune perte financière directe et recevront des notifications officielles en juin 2025.
Enquête et poursuites
Une enquête pénale a été immédiatement ouverte, menée en collaboration avec des services de police britanniques et internationaux. Plusieurs arrestations ont eu lieu, et le HMRC a indiqué avoir bloqué, grâce à ses outils de prévention, des fraudes d’un montant total de 1,9 milliard de livres sur l’exercice 2023-2024.
Critiques et manque de transparence
Des critiques ont été formulées à l'encontre du HMRC, notamment sur son manque de transparence initial. L'affaire n’a été révélée publiquement qu’à la suite d’une audition parlementaire, provoquant des inquiétudes sur la gestion des incidents de sécurité et la communication proactive avec le public.
Prévention pour les usagers
Le HMRC appelle à une vigilance renforcée contre les courriels frauduleux. Il rappelle qu’il ne demande jamais de coordonnées personnelles ou bancaires par e-mail ou SMS, et encourage les citoyens à utiliser uniquement les canaux officiels pour toute interaction fiscale.
Renforcement de la cybersécurité
Pour lutter contre la fraude, le HMRC a recruté plus de 4 800 agents spécialisés et investi près de 300 millions de livres dans ses systèmes de détection des fraudes depuis 2021.
Cette attaque rappelle que même les organismes publics les plus rigoureux sont vulnérables aux fraudes basées sur l’ingénierie sociale. La sécurité fiscale dépend à la fois de systèmes robustes et de la sensibilisation continue des usagers aux risques numériques.
Sources : Article dans The Register
Articles
Aucun commentaire:
Enregistrer un commentaire