Le pirate des impôts trahi par les microcoupures de son VPN
Le 24 mars 2023 à 06h06
2 min
Internet
Internet
Deux Français d’une quarantaine d’années viennent d'être jugés pour avoir piraté plus de 1 000 déclarations d'impôt, raconte le journaliste spécialisé Gabriel Thierry sur ZDNet. Les deux prévenus, qui « approchent doucement la cinquantaine », un consultant pour l’industrie pharmaceutique et un informaticien expérimenté ayant travaillé en Californie, encourent trois ans de prison, dont deux avec sursis, pour piratage et escroquerie. Le délibéré a été fixé au 15 mai prochain.
Les deux prévenus avaient d'abord piraté 11 000 comptes de messageries Free et Orange de particuliers, puis modifié les déclarations fiscales de 1 109 d'entre eux, afin de leur ouvrir « près de 3 900 euros de crédits d'impôts pour travaux, en moyenne », qu'ils escomptaient pouvoir récupérer via un IBAN fictif.
Leur magot, de plus de 4 millions d'euros, avait cela dit été bloqué par les impôts qui, découvrant le piratage durant l'été 2019, avait temporairement fermé l’accès à son service le temps d’identifier la faille, qu’avait révélée le Canard Enchaîné.
« L'administration fiscale a reçu 2 000 demandes de réinitialisation de mots de passe dans un temps très limité », avait alors indiqué un porte-parole du ministère, considérant que « le système d'alerte a bien fonctionné ».
L'administration fiscale a estimé le préjudice à 225 000 euros, « correspondant au salaire des 2 620 heures travaillées pour résoudre la crise, et aux 20 000 euros de préjudice moral demandés », résume ZDNet.
La DGSI, à qui l'enquête avait été confiée, les impôts étant un opérateur de service essentiel, avait alors identifié « un flot d’adresses IP suspectes en provenance d’un réseau privé virtuel », dont celle de l’informaticien, « sans doute en raison de microcoupures de son VPN ».
Son complice, lui, avait été identifié, non seulement du fait de sa correspondance fournie avec le premier, mais également parce que sa propre déclaration d’impôts avait été « la première à avoir été modifiée, en cochant la quasi-totalité des codes correspondant à des travaux ».
Le 24 mars 2023 à 06h06
Commentaires (61)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 24/03/2023 à 07h17
Comme quoi la désinformation des vendeurs de VPN qui disent que grâce à ça on est “indétectable”, “anonyme”, “protégé” et j’en passe, a des bons côtés.
Le 24/03/2023 à 07h26
Surtout, ne pas avoir utilisé de kill switch généralement présent sur ces solutions qui est le problème de l’interface chaise clavier.
Le 24/03/2023 à 18h44
une analyse des forces et limites des VPN actuellement disponibles:
https://www.ndss-symposium.org/wp-content/uploads/2022-285-paper.pdf
Assez exhaustif tant que les faiblesses testées que sur les VPN testés.
en anglais
Le 24/03/2023 à 07h30
Lors d’un traitement d’un alerte de sécurité, je me suis retrouvé à devoir fouiller les logs du serveur VPN de la boutique : en 10 min l’auteur des requêtes suspectes avait été identifié. Comme quoi !
Pour l’anecdote, c’est parti du client qui nous signale une alerte de type « injection SQL ». On remonte les différents équipements, les réseaux tout ça … jusqu’au bonhomme : Il avait réactivé une activité d’upload de log de compilation sur un serveur Wiki.
Le 24/03/2023 à 07h45
Très sympa, merci du partage !
Après, c’était l’ip du vpn ou la vraie ? Pcq j’imagine que c’est celle du vpn, du coup compliqué de remonter à la source non ? Après pour ce qui est décris, on cherche juste à supprimer le danger, moins à aller chercher la personne en elle-même je suppose 👍
Le 24/03/2023 à 08h18
Champion du monde
Un peu merdique ce VPN , il se déconnecte sans rien dire et envoi un bout de trafic en direct !
Le 24/03/2023 à 08h22
“les impôts étant un opérateur de service essentiel” : ça sort d’où, ça ?
Le 24/03/2023 à 08h42
ça parait logique, non? ^^
Le 24/03/2023 à 09h29
Méfiez-vous de la logique quand un homme de loi pose une question.
Un opérateur de service essentiel, ça a une définition bien précise.
Voir mon commentaire en #8.
Le 24/03/2023 à 09h34
Le 24/03/2023 à 09h39
effectivement, merci.
ça me permet d’être extrèmement étonné de ne pas voir bercy dans les “lauréats”.
Le 24/03/2023 à 09h43
Il n’y a aucun “service” de l’État.
Je pense que cette notion est faite pour donner des obligations de sécurité à des entités privées.
Et pour rebondir sur la brève, il semble normal que la DGSI intervienne quand on attaque un service de l’État, même si ici, c’était plutôt des Pieds nickelés.
Le 24/03/2023 à 10h34
Les services civils et militaires de l’État déjà couverts par la LPM (loi de programmation militaire) 2014-2019 (loi n° 2013-1168) ne sont pas concernés par la directive NISv1 transposé dans le droit français par la loi n° 2018-133. L’article 5 de cette loi précise que les opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du code de la défense pour les SI mentionnés à l’article L. 1332-6-1 du même code ne sont pas assujeties aux dispositions du chapitre II de cette loi. Les dispositions de ce chapitre concernent la SSI (sécurité des systèmes d’informations) des OSE (opérateur de service essentiel).
Autrement dit, un OSE est un opérateur qui n’est pas déjà OIV (opérateur d’importance vitale).
Or les OIV sont répartis en 12 secteurs, parmi lesquels les activités civiles, judiciaires et militaires de l’État, formant la dominante régalienne.
République Française République Française
Les OIV sont soumis à la DNS (directive nationale de sécurité) de leur secteur ainsi qu’à l’arrêté pris pour leur secteur d’importance vitale.
Objectifs des DNS : https://www.senat.fr/rap/l14-446/l14-4461.html
Arrêté pour les OIV du secteur “Activités civiles de l’État” : République Française
Sans disposer de la liste des OIV du secteur “Activités civiles de l’État”, il me semble raisonnable que le ministère des Finances y soit inclus, écartant de fait la qualification d’OSE.
Le 24/03/2023 à 14h20
D’où mon étonnement pour ce qui n’est en fait qu’un problème de terminologie (pas un OSE mais un OIV).
merci beaucoup pour cette intervention très précise!
Le 24/03/2023 à 14h53
Le 24/03/2023 à 15h09
Ou je suis on est OIV et c’est pas du gâteau…
Le 24/03/2023 à 15h29
Attention de ne pas en dire plus. Cette information est classifiée, puisque même les annexes II à IV de l’arrêté du 29 mai 2019 ne sont pas publiées sur legifrance. Elles sont communiquées par l’ANSSI aux personnes « ayant besoin d’en connaître » et habilitées pour cela. dit Wikipedia.
Le 24/03/2023 à 19h02
Après c’est un secret de polichinelle pour pas mal d’entre eux… A titre personnel, je ne suis pas au courant vu que non destinataire du secret défense mais bon
Le 24/03/2023 à 08h45
En tout cas, pas de la liste des services essentiels du Décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique.
Bien vu.
Le 24/03/2023 à 08h57
Je n’ai pas compris la manip je suis lent
On me pirate ma déclaration OK …
On la modifie OK….
On me pirate mon email OK…
et après ?
l’argent qu’ils ont piqué vient d’ou et comment ? c’est Bercy qui leur a donné ?
pas compris
Le 24/03/2023 à 09h03
Ah je crois que je commence à comprendre
C’est pas la déclaration d’impot qui a été piratée comme c’est écrit c’est le compte particulier lui même pour modifier la déclaration d’impot et ils ont changé l’IBAN des particuliers
C’est ça ?
Le 24/03/2023 à 09h14
Oui.
Ils ont commencé par pirater les boîtes mails des contribuables pour récupérer leur numéro fiscal (suite à un envoi d’avis d’imposition par mail) et réinitialiser le mot de passe.
Utiliser un seul IBAN pour tous (si j’ai bien compris) était aussi une connerie.
Le 24/03/2023 à 12h12
OK Merci
Le 24/03/2023 à 12h29
Pfff je me demandais comment ou pourquoi un avis d’imposition était envoyé par mail
et du coup je me suis aperçu qu’en temps que bailleur je demandais l’avis d’imposition des parents
et que systématiquement on me l’avait envoyé le pdf par email …
je vais demander du papier maintenant .
et je me suis aussi aperçu que la banque demandait aussi cette feuille pour autoriser par exemple l’égibilité à 1 LEP ou truc du genre
le papier c’était pas mal
Le 24/03/2023 à 12h50
Quant à moi, je viens de renseigner mon numéro de téléphone qui sera utilisé en cas de perte de mot de passe ou d’identifiant. Ça complique un piratage de ce type, même si je sais que le SMS n’est pas l’idéal.
Finalement, c’était bien le certificat généré par les impôts qui permettait de s’authentifier dans le temps.
Le 24/03/2023 à 09h22
Et une fois numéro fiscal ils ouvrent des lignes de crédit, des travaux avec ma prime renov’ etc.
Un peu dans l’idée de l’arnaque du siècle
Le 24/03/2023 à 09h16
Ben, en fait s’il y a bien une fonction régalienne de l’Etat qui figure tout en haut en ordre de priorité (je mets l’armée et la police à part), c’est bien celle du recouvrement de l’impôt à Bercy.
D’ailleurs en sortie de l’ENA, les Énarques les mieux placés dans les classement de sortie choisissent quasi-systématiquement les postes de contrôleur des finances.
On connait tous ce petit jeune qui était dans ce cas-là, Manu de son prénom…
Le 24/03/2023 à 09h16
Héhé alors j’ai été confronté exactement au même problème.
Il n’y a pas 36 solutions, il faut utiliser un serveur dédié qui sert de client VPN dont le secret consiste à bloquer tout routage (dont 0.0.0.0/0) vers eth0 à l’exception de l’IP du serveur VPN distant. La route par défaut sera celle pointant sur le périphérique TUN. Ainsi, en cas de défaut quel qu’il soit, le serveur sera au pire aveugle mais ne révélera jamais son IP.
C’est sûrement pas clair pour les non initiés mais pour le coup c’est vraiment une erreur de débutant malgré l’expérience des protagonistes
Le 24/03/2023 à 09h27
Il faut avoir eu une expérience des vpn pour savoir qu’un vpn qui bégaie va envoyer de l’activité en direct. Je ne pense pas être un cador mais avec mon expérience d’admin réseau je ne le savais pas forcément.
Le 24/03/2023 à 09h28
Le numéro fiscal est envoyé par email ?! Je ne l’ai jamais dans aucun email reçu par la DGFP. Et ça me gonflait parce qu’à chaque fois que je voulais me connecter, obligé d’aller chercher une lettre reçu des impôts (où là il y a mon numéro d’inscrit). Après cette brève, je me dis que ce n’est finalement pas plus mal qu’il ne l’envoie pas ^^.
Et quand je réinitialise mon mdp (à chaque fois , impossible de m’en souvenir), j’ai un sms avec un code envoyé sur mon numéro de téléphone.
Alors d’après la brève, ça date de 2019. Ont-il mis en place tout ça à la suite de cette faille (suppression du numéro fiscal dans les emails, mise en place d’un code envoyé par sms pour réinitialiser le mdp)?! Je ne sais pas…
Le 24/03/2023 à 09h33
Non, mais il est sur les avis d’imposition et ceux qui se sont fait pirater leur compte des impôts avaient envoyé leur avis d’imposition par mail (à je ne sais qui), ce qui est à éviter quand on voit les conséquences si on se fait pirater son adresse mail.
Nota : par France Connect, ils pouvaient en plus faire des usurpations d’identité sur plein de services !
Le 24/03/2023 à 12h17
Le 24/03/2023 à 09h55
étape 1: pirater depuis un VPN
étape 2: comprendre le forcage IP bind
étape 3: comprendre la table de routage IP
étape 4: comprendre le firewall
Le 24/03/2023 à 12h48
On dira ce qu’on veut des 2 prévenus mais leur procédé a été 100 % plus écologique qu’une proportion non négligeable des chantiers “isolation a 1€”.
Le tout pour un résultat quasi-similaire physiquement et économiquement.
Le 24/03/2023 à 13h02
Joli, mais ça ne vaudra jamais “Trésor Publicité” (fin des années 70) du vrai travail fait main !
Par contre eux aussi s’etaient fait avoir ! Comme quoi, mieux vaux eviter de voler…. l’état !
Le 24/03/2023 à 14h48
HA ha ha : j’y étais …
Même des chèques Fonds Par. ont été falsifiés…
Le 25/03/2023 à 07h50
Haha merci je ne connaissais pas.
J’ai vu un téléfilm dans les 90’s où deux gars avaient créé un magazine appelé Trésor Publication, et récupéré les chèques de paiement des impôts dans les boîtes aux lettres des centres, puis ajouté ce qu’il manquait à l’ordre.
J’avais trouvé ça ingénieux mais finalement les scénaristes ne s’étaient pas foulé
Le 24/03/2023 à 14h48
On connaît le nom de ce VPN ?
Le 24/03/2023 à 14h49
NXI fait encore du titre putaclic
Le titre dit :
Alors que l’article :
Le 24/03/2023 à 15h28
Où est le putaclick exactement ? La DGSI est prudente dans sa déclaration car elle n’a manifestement pas cherché à démontrer que l’exposition du pirate vient effectivement d’une micro-coupure du VPN, ce qui n’est pas déconnant car pas forcément très utile à l’enquête mais on comprend bien le scénario.
Le 25/03/2023 à 12h40
Quand on lit l’article sur NXI on a l’impression que le mec ne connaissait pas l’existence de kill switch. Alors qu’en fait c’est le fait qu’il ait changé souvent d’adresse IP (fournie par son VPN) qui a déclenché une alerte.
Le 24/03/2023 à 15h41
Vu les secteurs, ce n’est pas hyper de compliqué d’en déduire les OIV… J’imagine que l’intérêt de la confidentialité est d’éviter que “les plus gros des opérateurs non-OIV de chaque catégorie” n’apparaissent comme des cibles particulièrement intéressantes.
Dans les faits, il suffit de s’attaquer aux prestataires pour toucher les OIV les mieux protégés.
Le 24/03/2023 à 16h55
Le déduire et le supposer sont une chose. C’est la différence entre croire et savoir.
Dévoiler une info confidentielle, s’en est une autre.
Le 24/03/2023 à 16h26
J’ai détaillé le pourquoi dans le commentaire auquel tu répondais.
Le 24/03/2023 à 18h01
Donc il faut empiler au moins 2 VPN.
Le 24/03/2023 à 19h30
Le 24/03/2023 à 22h41
Non, si c’est le premier qui décroche c’est pareil, le deuxième ne sert a rien.
Il faut juste mettre ce qu’il faut en statique dans la table de routage : uniquement une route pour l’IP du VPN vers l’interface réelle (sans route par défaut), une route par défaut vers l’interface du VPN, et surtout pas de mécanisme automatique qui remet une route par défaut à l’interface réelle quand le VPN se déconnecte.
Le 25/03/2023 à 15h09
Le 25/03/2023 à 15h30
Si c’est en cascade, si tu perds la connexion au premier, le deuxième ne sert à rien puisqu’il est censé être joint à travers le premier. Le trafic passe alors par la route par défaut de l’interface réelle si elle a été remise en place lors de la perte de connexion au premier serveur, et tu montres ta vraie IP.
Après sans avoir plus de détails sur les configuration réseau et la gestion des routes, je ne peux pas être sûr d’avoir compris ce que tu veux dire.
Le 26/03/2023 à 09h53
Ça me gonflait aussi de devoir retrouver ce numéro, pour finir je l’ai noté dans un fichier.
(en réalité je ne sais pas si ces chantiers à 1 E sont tous mauvais)
Merci pour ces explications (et d’autres qui ont précédé), je ne connaissais pas ces histoires avec les VPN, n’étant pas utilisateur.
Le 26/03/2023 à 12h15
…
Dépend de la société et des travaux en question.
Chez moi et chez un collègue de taf, c’était juste l’isolation par le grenier à base de laine de roche. Ca fait plutôt bien le taf, il y a un peu moins besoin de chauffer pour atteindre la température voulue.
Chez un pote, c’était toute l’isolation par l’extérieur qui a été mise en place, et lui a senti une vraie différence. D’un hiver à l’autre, il était passé de 2 palettes de pellets à 1,2 pour atteindre la même température interne, pour une température extérieure moyenne à peu près identique.
Le 26/03/2023 à 20h38
Pour l’identification des auteurs de la fraude aux déclarations d’impôts, je ne suis pas convaincu par les explications. Le délit était constitué. Dans le cadre d’une enquête, la société propriétaire du VPN devait collaborer avec la justice et l’a sans doute fait, dévoilant l’identité de l’auteur. Ensuite, les informations transmises à la presse ont été arrangées pour ne pas révéler cette collaboration avec la justice. Et ça faisait passer la DGSI pour des cadors.
Le 27/03/2023 à 12h03
N’étant pas utilisateur de service commercial de VPN, je ne sais pas ce qu’est cette histoire de kill switch, tu peux m’expliquer ? Qu’est-ce que ça implique au niveau de la gestion des routes réseau ? Comment la box peut-elle y faire quelque chose ? En quoi ça protège des déconnexions accidentelles ? Je ne comprends pas trop ta config de double VPN.
Le 27/03/2023 à 15h10
Ça bloque ta connexion si jamais le VPN ne fonctionne plus, pour éviter une connexion sans le VPN.
Qu’est-ce que le Kill Switch ?
Mais dans ce cas, un second VPN ne sert à rien…
Le 27/03/2023 à 16h22
Si c’est bien ça, alors du point de vue routage, ça bloque la remise en place de la route par défaut vers l’interface réelle quand le VPN se déconnecte.
C’est ce que j’ai dit précédemment, juste présenté à l’envers puisque cette route ne se remet pas toute seule, c’est le client VPN qui la remet à la déconnexion pour rendre l’accès Internet à la machine cliente (et il l’enlève à la connexion), donc là c’est une option pour qu’il ne fasse pas quelque chose qu’il fait par défaut et à laquelle on a donné un nom qui ne m’évoquait pas ça.
C’est ça, mais visiblement JnnT a un avis différent, c’est pour ça que j’aimerais connaître sa configuration.
Le 27/03/2023 à 18h32
Si un VPN tire le rideau, reste le second, sans interruption de connexion. Sinon, la proposition courante de serveurs en cascade n’aurait pas de sens et aurait été dénoncée depuis longtemps. Comme je n’ai jamais eu d’interruption de connexion décelable, impossible de parler par expérience. Mais il doit plutôt s’agir de micro-coupures, imperceptibles pour l’usager mais révélatrices.
Le 27/03/2023 à 18h56
C’est plutôt en parallèle non, pas en cascade ?
Si c’est en cascade dans des pays différents, est-ce que ce n’est pas plutôt pour une question de législation qu’une question de technique ? Genre tu veux que le trafic sorte dans un pays où la législation oblige à garder des traces des connexions, donc tu passes par un serveur intermédiaire dans un pays où il n’y a pas cette obligation de manière à ce que le deuxième serveur ne voie jamais ton IP ?
Mais dans ce cas, c’est en cascade, pas en parallèle, et donc tu n’as plus d’accès du tout si le serveur intermédiaire se déconnecte.
Le 27/03/2023 à 19h18
Le 27/03/2023 à 22h22
Ah, tu veux dire pour cacher la destination côté source, en plus de cacher la source côté destination ? En effet, c’est une utilité, mais elle n’a pas de rapport avec les microcoupures.
J’ai fini par comprendre ta config réseau en double VPN en relisant plusieurs fois tes messages, ainsi que notre différence d’interprétation du terme “en cascade” (moi je dirais encapsulé). En effet, l’astuce réside dans le fait d’avoir les deux VPN répartis sur deux périphériques différents sur le chemin réseau, donc deux tables de routage indépendantes à obligatoirement traverser. Si l’une venait à ne plus te cacher, l’autre continue à le faire tant que les deux ne se déconnectent pas en même temps.
Après la présence du “kill switch” ne suffit-elle pas à garantir d’être soit caché, soit hors ligne, avec un seul VPN ?
Le 28/03/2023 à 07h09
Effectivement, j’utilise un VPN installé sur mon ordinateur et un autre d’un autre fournisseur dans une box dédiée branchée à celle de mon FAI.
Après, c’est parfois difficile de faire fonctionner les deux VPN ensemble. Parfois, lorsque le second est activé le premier sur l’ordinateur de déconnecte du réseau et m’en avertit. Pour continuer, il me faut débrancher un des VPN. Mais le plus souvent, cela fonctionne, quasiment sans diminution de la bande passante.
Sinon, je n’ai pas vraiment besoin de ces précautions. Mais, plusieurs VPN, cela me semble la règle impérative quand on veut échapper à la surveillance. En tout, cas le VPN juste sur le navigateur, cela ne suffit pas.
Le 29/03/2023 à 08h02
Désolé, mais l’article n’est pas clair. Et ce n’est pas les commentaires qui améliore la situation.