Alerte de sécurité : la période des impôts augmente le risque d’attaques de credential stuffing
Pendant la période des impôts, les plateformes de déclaration en ligne connaissent une forte augmentation de l’activité des utilisateurs, ce qui en fait des cibles de choix pour les attaques de credential stuffing. Les fraudeurs utilisent des bots automatisés pour tester à grande échelle des combinaisons identifiant-mot de passe volées, en exploitant des contrôles de sécurité faibles afin d’obtenir un accès non autorisé aux comptes des contribuables.
Une analyse récente menée par le DataDome Advanced Threat Research sur cinq grandes plateformes de déclaration fiscale a révélé que, bien que la plupart d’entre elles utilisent des solutions d’atténuation des bots, des failles critiques subsistent, permettant aux attaquants de mener des attaques de credential stuffing avec une résistance minimale. En renforçant leurs défenses, les plateformes fiscales peuvent perturber les tentatives automatisées de credential stuffing, empêchant ainsi les fraudeurs de valider des identifiants volés et d’accéder illégalement aux comptes des utilisateurs.
Principales conclusions
DataDome Advanced Threat Research a évalué les processus de création de compte, de connexion, ainsi que des simulations de credential stuffing en utilisant un framework de bots open-source avec les paramètres par défaut. L’évaluation a mis en évidence les vulnérabilités suivantes qui exposent les plateformes fiscales aux attaques :
- 100 % des sites testés autorisent les tentatives de connexion automatisées : malgré l’utilisation d’outils d’atténuation des bots, aucun des sites testés n’a bloqué efficacement les tentatives de connexion automatisées.
- Les défenses de base, telles que le blocage basé sur les adresses IP, se sont révélées insuffisantes et pouvaient être contournées à l’aide de proxys ou de VPN.
- Aucun des sites web testés n’applique de restrictions géographiques par adresse IP, ce qui permet aux attaquants de lancer des attaques depuis l’étranger sans avoir à utiliser des IP locales via des proxys. Cela réduit leurs coûts opérationnels et rend les attaques à grande échelle plus faciles à mener.
- Mécanismes de vérification insuffisants : une seule des plateformes testées exigeait un challenge reCAPTCHA lors de la connexion, ce qui laisse les bots soumettre des tentatives de connexion avec très peu de résistance sur les 80 % restants.
- Risque d’énumération de comptes : les attaquants peuvent déterminer si un compte (adresse e-mail, numéro de téléphone ou nom d’utilisateur) existe en se basant sur les différences de réponse du site web lors de la connexion, de la réinitialisation de mot de passe ou de l’inscription. Un site révèle l’existence d’un compte lors de la connexion sans demander de mot de passe, permettant ainsi aux attaquants de valider les comptes avant de lancer des attaques de credential stuffing.
- Vulnérabilité aux attaques de credential stuffing : des attaques de credential stuffing ont été simulées avec succès sur chaque plateforme testée, ce qui souligne l’absence de détection comportementale avancée dans les défenses existantes.
Risques de sécurité
Les attaques de credential stuffing non maîtrisées peuvent entraîner :
- un accès non autorisé aux comptes fiscaux : les attaquants qui testent des identifiants volés peuvent infiltrer les comptes des utilisateurs et accéder à des données financières et personnelles sensibles ;
- une vulnérabilité aux account takeovers (ATO) : bien que les account takeovers complets puissent être limités grâce à la mise en place de l’authentification multifacteur (MFA), les fraudeurs peuvent néanmoins perturber les utilisateurs ou identifier des comptes en vue d’attaques ciblées ultérieures ;
- une perte de confiance envers la plateforme : les utilisateurs s’attendent à des processus d’authentification sécurisés, en particulier lorsqu’il s’agit d’informations hautement sensibles. Les plateformes qui ne mettent pas en œuvre des défenses efficaces risquent de subir des dommages réputationnels et une perte de confiance de la part des clients.
Recommandations pour les plateformes fiscales
Pour atténuer le risque d’attaques de credential stuffing à grande échelle — et les conséquences financières importantes qu’elles peuvent entraîner — les plateformes fiscales devraient renforcer leur posture de sécurité. Pour cela, elles peuvent :
- Renforcer la protection : mettre en œuvre une protection contre la fraude en ligne multicouche, pilotée par l’intelligence artificielle, pour détecter et bloquer en temps réel les tentatives de connexion automatisées.
- Renforcer l’authentification adaptative : améliorer les méthodes d’authentification pour les sessions suspectes en s’appuyant sur une analyse basée sur le risque et des défis invisibles, en appliquant des étapes de vérification supplémentaires uniquement lorsque cela est nécessaire afin de perturber les activités malveillantes sans impacter les utilisateurs légitimes.
- Empêcher l’énumération de comptes : masquer les indicateurs d’existence de compte pour empêcher les attaquants de confirmer la validité des identifiants avant de lancer des attaques de credential stuffing.
Recommandations pour les déclarants
Les utilisateurs de plateformes de déclaration fiscale en ligne peuvent adopter des mesures proactives pour sécuriser leurs comptes et leurs données personnelles contre les attaques de credential stuffing :
- Renforcez la sécurité de connexion : utilisez des mots de passe uniques et robustes, et activez l’authentification multifacteur (MFA) pour empêcher tout accès non autorisé, ce qui réduira le risque d’account takeover. Soyez attentifs au risque d’énumération de comptes : si vous recevez un message d’erreur indiquant que votre e-mail est incorrect ou non enregistré, soyez vigilant ; les attaquants peuvent utiliser cette information pour identifier des comptes valides.
- Restez attentif à toute activité suspecte : activez les notifications pour les tentatives de connexion, les changements de mot de passe ou autres modifications du compte. Soyez prudent face aux tentatives de phishing ; des fraudeurs peuvent envoyer de faux e-mails ou messages en se faisant passer pour des plateformes fiscales. Connectez-vous toujours directement depuis le site officiel plutôt que via les liens contenus dans les e-mails.
- Protégez vos informations personnelles : utilisez un réseau sécurisé et privé ou un VPN lorsque vous accédez à votre compte de déclaration fiscale pour réduire le risque d’interception. Assurez-vous que votre navigateur, votre antivirus et votre système d’exploitation sont à jour pour vous protéger contre les vulnérabilités de sécurité. Si possible, évitez d’enregistrer vos informations bancaires ou de carte de crédit sur les plateformes fiscales.
Conclusion
Avec les volumes importants de données sensibles traitées par les plateformes fiscales, sécuriser l’authentification contre les attaques de credential stuffing est essentiel. Les attaquants peuvent valider des identifiants volés à grande échelle avec très peu de friction, augmentant ainsi le risque de fraude, de vol de remboursement et de modifications non autorisées des déclarations. Des contrôles d’authentification faibles exposent également les plateformes à des pertes financières, des atteintes à leur réputation et à un examen réglementaire accru.
En renforçant la détection des bots, l’authentification adaptative et la surveillance proactive, les plateformes fiscales peuvent protéger les comptes utilisateurs, réduire les risques financiers et maintenir la confiance dans les systèmes de déclaration fiscale numériques.
Articles liés
Plarium utilise la détection basée sur l'intention pour bloquer plus de 20 millions de requêtes malveillantes par mois
En savoir plus
5 stratégies efficaces pour prévenir une attaque par force brute
En savoir plus
Ubaldi.com réduit les coûts du cloud et gagne 20 heures d'ingénierie par mois
En savoir plus
Augmentation de 135 % : les coulisses des attaques de bots pendant les fêtes de décembre 2025
En savoir plus
