L’addition est salée pour le fisc britannique, le HM Revenue and Customs (HMRC). Comme la presse britannique le rapporte, cette administration a été plumée d’environ 47 millions de livres sterling (environ 56 millions d’euros) après une attaque qui a visé près de 100 000 comptes de contribuables.
« C’est une somme considérable, et c’est tout à fait inacceptable », a déclaré l’une des cadres du HMRC aux parlementaires britanniques, selon le compte-rendu du Guardian. Le piratage, daté dans le courant de l’année dernière, s’est soldé par « quelques arrestations », a également précisé un autre cadre du fisc.
Hameçonnage
Les cybercriminels sont suspectés d’avoir fait des attaques par hameçonnage pour obtenir des documents d’identité. Ces derniers leur permettaient, dans un second temps, de créer des comptes sur le site du fisc afin de se faire rembourser un crédit d’impôt. Au Royaume-Uni, les impôts sont prélevés à la source, et peuvent donner lieu à des remboursements, suivant les situations.
Il n’y a pas eu « de cyberattaque », « nous n’avons pas été piratés », s’est défendue l’administration fiscale devant les parlementaires. Toutefois, le fisc a admis « un défi » autour de la traque des escrocs, de nouveaux comptes frauduleux étant ouverts tandis que d’autres étaient fermés.
Les comptes concernés ont été verrouillés et leurs identifiants de connexions supprimés pour éviter tout accès frauduleux à l’avenir, signale une page de l’administration. Les contribuables visés par l’usurpation de comptes, qui ne devraient pas subir de préjudice, doivent enfin être prévenus dans le courant du mois de juin.
Mode opératoire similaire
En France, l’administration fiscale avait elle aussi été visée par des cybercriminels. Si le mode opératoire était similaire, l’attaque informatique n’avait toutefois pas été jusqu’à son terme à cause « de problèmes logistiques ». Le piratage s’était également soldé par un procès en mars 2023 à Paris et des condamnations à trois ans de prison, dont deux avec sursis, des peines assorties de fortes amendes allant de 20 000 euros à 40 000 euros.
Grâce à des combo-list d’identifiants et de mots de passe, deux hommes d’une quarantaine d’années avaient piraté 11 000 messageries, avant de s’attaquer, par ricochet, à environ 1100 déclarations de contribuables. Ils espéraient pouvoir obtenir des crédits d’impôts pour travaux. Le fisc français avait calculé que les fausses déclarations ouvraient droit à un total de plus de quatre millions d’euros.
Un montant resté virtuel. Pas comme la facture pour l’administration, qui avait dépensé plus de 225 000 euros pour résoudre la crise. Un montant qui laisse à penser que la facture totale pour le fisc britannique risque d’être bien douloureuse.