Le fisc britannique a révélé mercredi qu’un réseau de criminalité organisée avait réussi à détourner près de 64 millions de dollars (47 millions de livres sterling) grâce à une vaste opération de phishing visant plus de 100 000 comptes clients. L’escroquerie, qui s’est déroulée l’an dernier, a permis aux fraudeurs d’usurper l’identité de contribuables pour soumettre de fausses demandes de paiement au gouvernement, sans que les véritables usagers ne subissent de préjudice financier.
Selon le communiqué du service des impôts et des douanes de Sa Majesté (HMRC), les pirates ont obtenu un accès non autorisé aux comptes via des informations personnelles récoltées à l’extérieur des systèmes du fisc, en particulier par le biais de campagnes de phishing. Le HMRC a précisé qu’aucune faille de cybersécurité n’avait été détectée sur ses propres plateformes et que les contribuables n’avaient pas à s’inquiéter pour leurs fonds.
Angela MacDonald, directrice générale adjointe du HMRC, a déclaré devant une commission parlementaire que les fraudeurs avaient réussi à obtenir trois versements frauduleux totalisant 47 millions de livres. « C’est beaucoup d’argent, et c’est tout à fait inacceptable », a-t-elle affirmé aux députés. Elle a été rejointe par le directeur général, John-Paul Marks, qui a ajouté qu’une enquête criminelle avait été immédiatement ouverte et avait conduit à des arrestations.
Les autorités ont agi rapidement après la découverte de la fraude : les comptes compromis ont été verrouillés, les identifiants d’accès réinitialisés, et toutes les données erronées supprimées des dossiers fiscaux des contribuables concernés. Le HMRC a aussi pris le soin d’informer individuellement les usagers touchés par l’incident.
Dans un message rassurant publié sur son site Internet, le HMRC a précisé : « Il s’agissait d’une tentative de réclamer de l’argent au HMRC, et non d’une tentative de vous prendre de l’argent. » En d’autres termes, l’opération visait directement les fonds de l’État et non les actifs ou comptes bancaires des particuliers.
Dans une déclaration transmise à Reuters, le HMRC a réaffirmé que cette attaque ne constituait pas une cyberintrusion à proprement parler, mais plutôt une exploitation frauduleuse de données personnelles obtenues à l’extérieur, notamment par des techniques de hameçonnage. Cette affaire relance les appels à renforcer la sécurité des données et la vigilance des citoyens face aux menaces croissantes de cybercriminalité.
