IPB

Bienvenue invité ( Connexion | Inscription )

> Fichier national des comptes bancaires FICOBA des impôts piratés : mon point de vue de spécialiste de la sécurité, Réactions à la publication du 25/02/2026
Options
Paul Emploi
posté 25 Feb 2026, 13:41
Message #1


Macbidouilleur d'Or !
*****

Groupe : Rédacteurs
Messages : 2 639
Inscrit : 19 Nov 2020
Lieu : Montréal
Membre no 212 895
Environ 1,2 millions de comptes ont été accédés : les informations "[de votre] état-civil, de votre adresse postale et de vos coordonnées bancaires", d'après le ministère.


Ça a fait les manchettes, mais j'aimerais revenir sur ce qui c'est passé, car il y a de nombreux points intéressants dans la communication officielle. Notamment dans leur FAQ.

Les identifiants d'un fonctionnaire

Voilà le point d'entrée : les identifiants d'un fonctionnaire ont été "usurpés".
On peut légitimement se demander s'il y avait un 2FA, une authentification à deux facteurs, dont TOTP2 ou FIDO2, ou même multifactorielle.


À ce niveau de sensibilité, de risque et d'impact, le minimum en sus d'un mot de passe fort c'est une clé physique FIDO2 et si possible une clé physique FIDO2 avec biométrie (capteur d'empreinte) inutilisable même si volée.

Ce que l'on sait : son mot de passe fort (souvent noté sur un post-it !)
Ce que l'on a : la clé physique FIDO2 unique
Ce que l'on est : son empreinte physique sur la clé pour l'activer

Un fonctionnaire et des usages très particuliers

Ce fonctionnaire avait des accès "dans le cadre de l’échange d’information entre ministères".
Cela signifie qu'il n'avait pas un usage encadré de la même manière que pour les consultations usuelle du fichier FICOBA, donc probablement pas les mêmes règles de sécurité et restrictions autour de son usage.

On peut tout de suite comprendre, via "dans le cadre de l’échange d’information entre ministères" et un usage qui est inhabituel, qu'il y a là, comme dans de nombreuses interconnexions de bases de données ou fichiers, une faille potentielle.

Ça renforce le point précédent, sur un usager qui est exceptionnel dans ses usages donc ses droits et les règles de sécurité qui s'appliquent : clé FIDO2 avec sécurité biométrique en sus du mot de passe fort.

Priorité à la sécurité des données et donc celle des Français

Priorité à la sécurisation des données, quitte à affecter les opérations, et c'est exactement ce qu'il faut faire dans un tel cas. Mettre fin à l'hémorragie ! Couper court !

Un DSO, Officier de Sécurité des Données, doit négocier cette autorité, et qu'elle soit connue de tous en interne mais aussi côté clients, fournisseurs et partenaires pour éviter tout "malentendu".
Le DSO a pleine autorité sur les données dont leur sécurité. Personne d'autre.

Prendre les bonnes décisions, le plus tôt possible. Excellent !

Communication

La Direction Générale des Finances publiques (DGFiP) va communiquer directement auprès de chaque Français touché.
C'est là aussi excellent, pour la communication, mais aussi car ça démontre un bon niveau de Log le permettant.

"La DGFiP a pour obligation d'informer dès qu'une consultation semble frauduleuse, conformément à l'article 34 du règlement général sur la protection des données (RGPD)."
Excellent là aussi, indiquer clairement le cadre légal et le respecter.

En conclusion

J'aime beaucoup la façon dont la DGFiP a réagit.
Pas de déclarations à l'emporte-pièce qui se révèlent fausses deux jours plus tard, pas de bruit, juste un audit interne basé sur des logs et donc une information concise, précise et correcte.

Arrêter l'hémorragie quitte à impacter ou bloquer les opérations : parfait, la sécurité avant tout !

Et une bonne communication individuelle auprès des Français touchés. Parfait aussi !

Les problèmes identifiés

Maintenant, il y a le problème des identifiants, qui laisse à penser que le niveau de sécurité n'est pas assez élevé pour cet utilisateur et ses usages. Probablement le même niveau pour tous...
Droits plus élevés, authentification plus stricte. Bien sûr rien n'est parfait !

Pas de suivi quotidien de cet utilisateur ayant des droits très différents, et une alerte après 1,2 millions de comptes accédés sur deux semaines. 1,2 millions de comptes ! Deux semaines !
Droits plus élevés, surveillance rapprochée.

Et le problème d'interconnexions de bases de données ou de fichiers, qui revient régulièrement parmi les facteurs ayant permis une attaque réussie. Un facteur souvent décisif.

On voudrait nous proposer ou imposer un "ID numérique" avec une tonne d'interconnexion de bases de données ou fichiers divers et variés, plus sensibles les uns que les autres ?!?

Lien vers le billet original



--------------------
La liberté d'expression c'est l'extrémisme. La censure c'est la liberté.
Go to the top of the page
 
+Quote Post

Les messages de ce sujet
- Paul Emploi   Fichier national des comptes bancaires FICOBA des impôts piratés : mon point de vue de spécialiste de la sécurité   25 Feb 2026, 13:41
- - JPRW   Ca continue avec la DGFiP ... Depuis hier soir ou...   25 Feb 2026, 15:11
|- - Paul Emploi   Citation (JPRW @ 25 Feb 2026, 15:11) ... ...   25 Feb 2026, 15:16
|- - loucheux   Citation (Paul Emploi @ 25 Feb 2026, 17:1...   25 Feb 2026, 15:42
- - Patounet1   Bonjour, Je n'ai pas bien compris, mais probab...   25 Feb 2026, 15:19
- - Paul Emploi   S'attaquer à qui, et pour quelle raison léga...   25 Feb 2026, 15:36
- - JPRW   Pour accéder à son espace Impots.gouv , il me se...   25 Feb 2026, 16:40
- - MixUnix   Tant qu'on n'appliquera pas des sanctions ...   25 Feb 2026, 17:07
- - Alex5555   Pour ma part gros fan de France Identité qui est ...   25 Feb 2026, 17:15
- - STRyk   Pffffff c'est geré par des gens qui s'en ...   25 Feb 2026, 23:16
- - Patounet1   Citation (Paul Emploi @ 25 Feb 2026, 15:3...   26 Feb 2026, 09:32
|- - STRyk   Citation (Patounet1 @ 26 Feb 2026, 10:32)...   26 Feb 2026, 09:36
- - loucheux   Nous avons tous un compte aux Impots associé à u...   26 Feb 2026, 09:41
- - g4hd   Moi je m’en fous du CPF et de l’ANTS… je vou...   26 Feb 2026, 12:06
- - Pyth   Je ne voudrais pas que mes propos soient mal inter...   26 Feb 2026, 15:25
- - STRyk   Tu as bien résumé le problème. Il n'y a pas...   26 Feb 2026, 15:32
- - Paul Emploi   Il n'y a eu absolument aucun problème logicie...   26 Feb 2026, 16:34
- - STRyk   C'est vrai, aucun problème : https://www.fran...   27 Feb 2026, 06:53
- - JPRW   Dans le cas du fichier FICOBA , le pb ne semble p...   27 Feb 2026, 10:02

« Sujets plus anciens · Macbidouille Articles & News : Vos Réactions · Sujets plus récents »
 

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 

Modes d'affichage: Passer au mode : Standard · Passer au mode : Linéaire+ · Arborescent

Suivre ce sujet · Envoyer ce sujet · Imprimer ce sujet · S'abonner à ce forum

Nous sommes le : 18th March 2026 - 00:35
Powered By IP.Board 2.3.6 © 2026  IPS, Inc.