Cybermenace : plus de 100 campagnes d'arnaques fiscales en 2026

Analyse technique

Vecteurs d'attaque observés

Depuis janvier 2026, les campagnes d'arnaques fiscales se multiplient pendant les périodes de déclaration. Elles prennent des formes variées : faux avis émis au nom d'administrations fiscales, relances évoquant des remboursements, ou faux formulaires de rectification envoyés en pièces jointes. Les messages poussent les destinataires à cliquer sur des liens menant à des pages de collecte d'identifiants hébergées sur des domaines lookalike ou compromis. Selon UnderNews, plus de 100 campagnes de ce type ont été détectées depuis janvier 2026 ^².

Le smishing progresse en parallèle. Des SMS ou messages vocaux automatisés incitent à rappeler un numéro ou à confirmer des informations bancaires, et le canal mobile reste moins protégé que l'email. Les pièces jointes malveillantes restent un vecteur classique : PDF ou HTML piégés, documents Office avec macros actives, ou formulaires interactifs qui exfiltrent des données. Les landing pages frauduleuses reproduisent fidèlement des portails fiscaux et peuvent contenir des CAPTCHA factices qui n'ont d'autre but que de masquer la collecte d'identifiants.

Les campagnes combinent souvent plusieurs vecteurs pour maximiser l'impact : email initial, relance par SMS, puis redirection vers une page hébergée sur un domaine de confiance compromis. Cette orchestration rend la détection plus difficile et augmente la crédibilité perçue par la victime.

Techniques d'usurpation et contournement des protections

Les attaquants utilisent le typosquatting et les domaines homoglyphes pour tromper l'œil. Un domaine presque identique à l'officiel suffit si le certificat TLS est valide, et les autorités de certification automatisées rendent l'obtention de certificats légitimes triviale. Ils profitent aussi de sites tiers compromis pour héberger des pages frauduleuses, ce qui leur permet de passer outre certaines listes noires et d'exploiter la réputation d'un domaine tiers.

Les mécanismes d'authentification d'email - SPF, DKIM et DMARC - sont détournés ou contournés. Les attaques simples exploitent le display-from ou le reply-to pour masquer l'expéditeur réel. Les campagnes sophistiquées utilisent des relais, des serveurs compromis et des domaines alignés pour optimiser la délivrabilité.

La chaîne de redirections est un autre levier : une page malveillante ne sert la charge malveillante qu'après vérification de l'IP et du User-Agent, ou après redirections via des shorteners et des CDN. Ces techniques compliquent l'analyse automatique et réduisent les chances d'être bloqué par des solutions statiques.

Exemples techniques concrets

PDF interactif avec formulaire : l'utilisateur remplit des champs, puis le formulaire exfiltre les données via une requête POST chiffrée vers un endpoint hébergé chez un fournisseur cloud. Les URL d'exfiltration changent régulièrement pour échapper à la détection.
Pages de credential harvesting : clones fidèles des interfaces de connexion fiscales, intégrant parfois des faux CAPTCHA pour masquer la soumission d'identifiants. Ces pages peuvent héberger des scripts qui testent la validité des identifiants en temps réel.
Attaques ciblées à partir de listes de fuites : les campagnes utilisent des bases d'adresses issues de fuites publiques ou achetées sur des forums clandestins pour personnaliser les messages et améliorer le taux de clic.

Vulnérabilités exploitées et dépendances logicielles

La majorité des compromissions tirent parti d'erreurs humaines et de mauvaises configurations plutôt que de zero-day massifs. Quand un exploit logiciel est utilisé, il concerne souvent les moteurs de rendu HTML/PDF ou des composants Office non patchés. Les correctifs réguliers et la gestion rigoureuse des dépendances réduisent ce risque, tout comme la limitation des macros et l'utilisation de viewers sécurisés pour les pièces jointes.

Impacts business

Pertes financières directes et indirectes

Les conséquences financières peuvent être lourdes. Des virements frauduleux validés par des employés induits en erreur ou des particuliers démunis entraînent des pertes directes. Les coûts indirects incluent enquêtes, analyses forensic, notifications réglementaires et perte de productivité pendant la remédiation. Pour une PME, l'impact financier d'une compromission liée à une campagne de phishing peut varier de 30 000 à 150 000 euros, selon l'ampleur et la durée de l'incident.

Risques réputationnels et juridiques

Une fuite de données ou une fraude relayée publiquement entraine une perte de confiance des clients et des partenaires. Des obligations de notification existent sous le RGPD, et l'absence de mesures de sécurité démontrables peut exposer à des sanctions administratives. Les entreprises doivent donc documenter leurs pratiques de prévention et leurs réponses aux incidents.

Impact sur les opérations

Le credential harvesting sur des comptes administratifs est particulièrement déstabilisant : accès durable, mouvements latéraux et exploitation pour lancer des campagnes secondaires. Les équipes support et sécurité subissent une surcharge de tickets et d'appels, ce qui augmente le risque d'erreurs opérationnelles et prolonge la fenêtre d'exposition.

Recommandations

Mesures techniques immédiates

Renforcer l'authentification : imposer la MFA sur tous les accès sensibles. Favoriser FIDO2 ou des OTP via applications plutôt que les SMS quand c'est possible.
Appliquer une politique DMARC stricte (p=reject) après avoir corrigé l'alignement SPF/DKIM et surveiller les rapports DMARC pour détecter les anomalies³.
Déployer un filtrage des URL en temps réel et un sandboxing des pièces jointes. Intégrer des listes de lookalikes et des heuristiques de redirection en chaîne pour bloquer les landing pages malveillantes.
Mettre en place une surveillance continue des enregistrements DNS, des nouveaux enregistrements similaires à la marque et des certificats TLS émis pour des domaines proxys. Avoir une procédure de takedown rapide avec registrars et fournisseurs cloud.

Mesures organisationnelles et process

Sensibiliser les équipes avant et pendant la saison fiscale avec simulations de phishing contextualisées. Inclure des campagnes de rappel sur la reconnaissance des signaux d'alerte spécifiques aux messages fiscaux.
Instituer une procédure de vérification multi-étapes pour toute demande financière ou de transmission de données sensibles : double-validation via numéro officiel, appel de confirmation, ou validation collégiale.
Préparer un plan d'incident dédié aux campagnes d'hameçonnage avec playbooks clairs pour détection, containment, remédiation et communication. Maintenir des modèles de notifications pour les clients et les autorités.

Collaboration externe

Signaler systématiquement les domaines frauduleux aux autorités compétentes et aux équipes de réponse nationales. ANSSI et CERT-FR publient des recommandations et peuvent assister dans la coordination³ ^⁴.
Renforcer les partenariats avec registrars et fournisseurs cloud pour accélérer les procédures de retrait des contenus malveillants.

Rester proactif est indispensable : les campagnes d'arnaques fiscales évolueront, et la combinaison de contrôles techniques, de surveillance continue et de sensibilisation ciblée demeure la meilleure défense¹ ^³ ^⁴.

Questions fréquentes

Quels signes indiquent qu'un email fiscal est frauduleux ?

Contrôler l'expéditeur réel via les en-têtes, survoler les liens sans cliquer pour vérifier l'URL, repérer les fautes inhabituelles ou l'absence de personnalisation, et être vigilant en cas de demande d'informations sensibles non sollicitées. Les administrations n'envoient pas d'informations confidentielles par lien non sollicité ou via une pièce jointe non attendue ³.

La mise en place de DMARC empêchera-t-elle toutes les usurpations de domaine ?

DMARC réduit significativement l'usurpation en forçant l'alignement SPF/DKIM, mais n'empêche pas l'usage de domaines similaires ou de comptes compromis. DMARC doit être complété par la surveillance des domaines, la détection de lookalikes et des procédures de takedown ³.

Que faire après un clic sur un lien frauduleux pendant la période fiscale ?

Isoler la machine concernée, changer les mots de passe depuis un appareil sain, vérifier ou activer la MFA, signaler l'incident à l'équipe de sécurité interne. Si des données sensibles semblent compromises, déclencher les obligations de notification prévues et contacter les autorités compétentes ⁴.

Les outils de filtrage d'email protègent-ils contre le smishing ?

Non. Les solutions d'email filtering classiques ne couvrent pas le smishing. Il faut des solutions dédiées pour SMS, des politiques opérateur et une sensibilisation renforcée des utilisateurs pour limiter ce vecteur ¹.

Faut-il prioriser la formation ou les contrôles techniques ?

Les deux sont complémentaires. Les contrôles techniques réduisent la surface d'attaque et limitent le succès des campagnes. La formation diminue le facteur humain. Les organisations gagnent à investir simultanément dans les deux axes ³.