Accéder au contenu Cybermalveillance.gouv.fr Assistance et prévention du risque numérique

L’hameçonnage aux couleurs des impôts

Publié le 2 juin 2021

hameçonnage impôts phishing

12295 Temps de lecture : 25 min

Vous avez reçu un message (e-mail ou SMS) qui semble provenir des services des impôts ? Ce message vous annonce que vous pouvez bénéficier d’un remboursement ou d’une prime ou que vous devez régler un impayé, ou encore que vous devez mettre à jour vos informations personnelles ou professionnelles dans les meilleurs délais ?
Attention ! Vous êtes face à une tentative d’hameçonnage (phishing en anglais) qui usurpe l’identité de l’administration fiscale. L’objectif de cette escroquerie est de vous dérober des informations confidentielles, personnelles ou professionnelles, pour en faire un usage frauduleux.

Cybermalveillance.gouv.fr constate tout au long de l’année de multiples campagnes d’hameçonnage aux couleurs de la Direction générale des Finances publiques (DGFiP). Les périodes de déclaration de revenus ou certains thèmes d’actualité sont également exploités par des cybercriminels afin de rendre plus crédibles leurs tentatives d’escroquerie.

Cet article analyse cette menace et prodigue des conseils pour y faire face.

1. Comment se déroule l’hameçonnage aux couleurs des impôts ?

L’hameçonnage (phishing en anglais) est une technique frauduleuse qui vise à usurper l’identité d’une marque ou d’une organisation connue pour inciter la victime à fournir des informations confidentielles, personnelles ou professionnelles (identité, mot de passe, données bancaires…).

Dans le cas de l’hameçonnage usurpant l’identité de l’administration fiscale, l’escroquerie démarre par la réception d’un courriel (e-mail) ou d’un SMS qui semble provenir des services des impôts.

Le nom de l’expéditeur affiché dans le message laisse généralement penser que le message proviendrait effectivement de l’administration fiscale, comme : « Portail.dgfip.finances.fr« , « @impots-gouv.fr« , « DGFIP« …

Ces affichages visent à tromper la vigilance de la victime. En effet, l’identité de l’expéditeur réel d’un message peut assez aisément être maquillée, ou même usurpée.

Exemples de noms d’expéditeur et d’intitulés de messages frauduleux :

Exemples de noms d'expéditeur et d'intitulés de messages frauduleux par SMS
Exemples de noms d'expéditeur et d'intitulés de messages frauduleux par mail

Le corps du message, quant à lui, contient généralement des copies des logos officiels de la DGFiP et/ou du site Impots.gouv.fr.

Exemples d’utilisation abusive de logos de la DGFiP dans des messages (e-mails) frauduleux :

Exemples d’utilisation abusive de logos de la DGFiP dans des messages frauduleux
Exemples d’utilisation abusive de logos de la DGFiP dans des e-mails frauduleux
Exemples d’utilisation abusive de logos de la DGFiP dans des mails frauduleux

Ces messages ont généralement pour objectif d’inciter la victime à communiquer des informations personnelles et/ou professionnelles et, bien souvent également de carte bancaire, soit en lui demandant de les fournir en réponse au message, soit en l’attirant sur un faux site Internet aux couleurs de l’administration fiscale.

Les cybercriminels visent le plus souvent les particuliers, mais les professionnels (entreprises, collectivités ou associations) sont également ciblés. Ils exploitent parfois des thèmes d’actualité pour crédibiliser leurs tentatives d’escroquerie. Citons par exemple les multiples campagnes de messages frauduleux annonçant de supposées primes ou aides fiscales dans le cadre de l’épidémie de coronavirus.

2. Les formes d’hameçonnage aux couleurs des impôts les plus fréquemment observées

Fausse annonce de remboursement

Le cas le plus fréquemment remonté par les victimes concerne un message frauduleux qui les informe qu’après un calcul réalisé par l’administration fiscale, elles bénéficient d’un remboursement d’impôt d’un montant qui s’élève à plusieurs centaines d’euros. Pour crédibiliser l’arnaque, la somme annoncée n’est pas un « chiffre rond », laissant penser qu’il est le résultat d’un calcul précis de l’administration. Par exemple : 218,80 €, 498,87 €…

Bien souvent, le message indique qu’il ne faut pas tarder à donner suite pour que le remboursement soit effectué rapidement.

Dans ce type de message, la victime est toujours invitée à suivre un lien pour effectuer la démarche de remboursement en ligne. Dans la plupart des cas, ce lien est situé dans le corps du message, mais il est parfois contenu dans une pièce jointe s’il s’agit d’un message électronique. La victime est alors redirigée vers un site Internet trompeur créé par des escrocs. Pour mettre en confiance la victime, ce site reprend les codes visuels du site Internet Impots.gouv.fr avec les mêmes logos et couleurs ainsi qu’une mise en page similaire à celle du site Internet officiel.

En général, la page affiche un formulaire où sont demandées des informations personnelles telles que les nom, prénom, date de naissance, adresse postale et électronique, numéro de téléphone mobile… Ensuite, il est systématiquement demandé les coordonnées de carte bancaire de la victime (nom et prénom du titulaire, numéro de carte, date de validité et code à 3 chiffres figurant à son dos, également appelé « cryptogramme »).

Lorsque la victime a terminé de renseigner le formulaire frauduleux, elle peut être redirigée vers la page d’accueil du véritable site Internet Impots.gouv.fr, ce qui peut ajouter à l’illusion que les démarches étaient légitimes.

Dans certains cas observés, le formulaire frauduleux demande à la victime de confirmer un code SMS envoyé au numéro de portable qu’elle a indiqué et qui permettront à l’escroc de réaliser de véritables transactions frauduleuses en temps réel sur le compte bancaire de la victime.

Dans ce type d’arnaque, il est aussi parfois demandé à la victime de fournir ses identifiants de connexion (numéro fiscal et mot de passe) sur le site Impots.gouv.fr afin de les lui dérober.

Exemples de messages malveillants annonçant un remboursement (SMS et e-mail) :

Exemple de message (SMS) malveillants annonçant un remboursement
Exemple de message (mail) malveillants annonçant un remboursement

Exemple de site Internet frauduleux demandant des informations personnelles et bancaires :

Exemple de site Internet frauduleux demandant informations personnelles et bancaires

Fausse annonce de remboursement dans le cadre de la suppression progressive de la taxe d’habitation

Le thème de la disparition de cet impôt programmée par le gouvernement fait également l’objet de tentatives d’hameçonnage. Les messages informent la victime que le remboursement d’un trop-payé lui serait accordé. La méthode d’escroquerie est alors identique à celle décrite précédemment.

Fausse annonce de remboursement taxe d'habitation

Fausse demande d’informations personnelles pour la mise à jour de dossier

À l’occasion d’une prétendue opération de mise à jour des dossiers fiscaux des particuliers, le message informe que le contribuable doit communiquer une copie recto-verso de sa pièce d’identité, photographiée ou numérisée (scannée), accompagnée d’une photo montrant son visage (selfie) et sa pièce d’identité tenue dans sa main. Des demandes de confirmation d’identité (nom, prénom, date et lieu de naissance, adresse, téléphone…) peuvent également être demandées.

Fausse demande d'informations personnelles pour la mise à jour de dossier

Fausse demande de règlement d’un impayé

Dans cette variante, la victime reçoit un message qui lui annonce qu’elle doit effectuer le paiement d’un impayé d’impôts pour régulariser sa situation. Ce message contient généralement des coordonnées bancaires (IBAN et BIC) d’un compte détenu par les escrocs vers lequel la victime doit effectuer un virement.

Exemple de SMS frauduleux demandant le règlement d’un impayé :

Exemple de SMS frauduleux demandant le règlement d’un impayé

Fausse demande d’informations professionnelles à des entreprises

Ce type d’hameçonnage est plus élaboré et s’adresse nominativement à une entreprise que les cybercriminels ont préalablement ciblée. Les messages reçus sont dans ce cas personnalisés et les informations demandées extrêmement précises. Elles concernent essentiellement des documents administratifs et comptables relatifs aux relations commerciales de l’entreprise avec ses clients ou ses fournisseurs.

Fausse demande d'informations professionnelles à des entreprises

3. Quelles sont les conséquences de ce type d’hameçonnage ?

Sur les sites Internet frauduleux ou par e-mail, les informations communiquées par la victime sont récupérées par les escrocs qui pourront les utiliser directement ou alors les revendre à d’autres cybercriminels qui en feront usage à leur tour. Citons, par exemple, la fraude à la carte bancaire, les tentatives d’usurpation d’identité ou d’hameçonnage ciblé sur la victime.

Dans le cas des professionnels qui ont été victimes du vol de documents commerciaux, comptables ou fiscaux, les cybercriminels pourront exploiter ces informations pour tenter, par exemple, de mener des escroqueries aux faux ordres de virement (FOVI ou « arnaque au président »). Ce type de fraude se base sur une usurpation d’identité et vise à amener la victime ou bien l’un de ses fournisseurs ou clients à réaliser un virement de fonds vers un compte bancaire détenu par les escrocs.

4. Comment ont-ils eu votre adresse de messagerie ou votre numéro de téléphone ?

Pour obtenir votre adresse de messagerie ou votre numéro de téléphone, les escrocs peuvent recourir à différentes méthodes comme l’hameçonnage.

Par ailleurs, votre adresse de messagerie et votre numéro de téléphone circulent déjà probablement sur Internet. En effet, vous les avez déjà renseignés sur différents sites Internet ou les utilisez régulièrement pour vous identifier et communiquer. Ces sites ont parfois revendu ou échangé leurs fichiers d’adresses de messagerie avec différents partenaires, dont certains peu scrupuleux, dans des objectifs marketing. Ces fichiers d’adresses sont parfois également dérobés ou récupérés par des cybercriminels pour être utilisés dans des campagnes frauduleuses, pour des attaques par hameçonnage, à l’instar de l’hameçonnage bancaire.

Ces informations dérobées circulent entre cybercriminels sous forme de fichiers qu’ils s’échangent ou se revendent.

5. Que faire si vous recevez un message d’hameçonnage aux couleurs de la DGFiP ?

Conseils essentiels face à un message semblant provenir de la DGFiP

Lorsque vous recevez un message qui vous promet un remboursement, vous demande de compléter votre dossier ou vous signale un problème quelconque lié à votre situation fiscale, soyez vigilant et vérifiez cette information par vous-même sans passer par un lien contenu dans un message !


Si effectivement une action est requise de votre part vis-à-vis de l’administration fiscale, vous retrouverez cette information dans votre espace privé sur le site www.impots.gouv.fr.


De plus, si vous aviez à bénéficier d’un remboursement, celui-ci se ferait automatiquement. Il ne transiterait jamais par votre carte bancaire mais serait directement versé sur le compte bancaire que vous avez enregistré auprès des services fiscaux.


La DGFiP est très vigilante concernant l’hameçonnage à ses couleurs et alerte régulièrement sur ces tentatives d’escroquerie via ses comptes de réseaux sociaux sur Twitter et Facebook. Elle dispose également d’une page qui recense ce type d’arnaque sur son site Internet sur laquelle figure cet avertissement :
« Soyez extrêmement prudents et sachez que les services de la Direction générale des Finances publiques ne demandent jamais de coordonnées bancaires, d’informations personnelles, de données d’identification des fournisseurs et des clients, d’informations sur les factures ou sur les références des contacts financiers… par courriel ou téléphone. »

  1. Au moindre doute, contactez directement le centre des impôts dont vous dépendez pour confirmer le message que vous avez reçu ou connectez-vous à votre espace privé sur le site www.impots.gouv.fr pour vérifier si une action est attendue de votre part. Si vous n’obtenez pas cette confirmation, considérez qu’il s’agit d’une tentative d’arnaque.

  2. Au moindre doute également, n’ouvrez pas les courriels ou leurs pièces jointes et, de même pour les SMS, ne cliquez jamais sur les liens. Tous nos conseils et nos recommandations sur l’hameçonnage (phishing en anglais).

  3. Si vous avez cliqué sur le lien, vérifiez l’adresse du site qui s’affiche dans votre navigateur. Si cela ne correspond pas exactement au site concerné, il s’agit certainement d’un site frauduleux. Il suffit parfois d’un seul caractère différent pour vous tromper. En cas de doute, ne fournissez aucune information et fermez immédiatement la page correspondante.

  4. Signalez tout message (mail) ou site douteux à Signal Spam. S’il s’agit d’un SMS, signalez-le sur la plateforme 33700 ou par SMS au 33 700. Ces services feront bloquer l’émetteur du message.

  5. Signalez l’adresse du site d’hameçonnage à Phishing Initiative qui demandera le blocage de ce site et sa suppression.

  6. Signalez les faits à la plateforme de signalements PHAROS du ministère de l’Intérieur : Internet-signalement.gouv.fr.

6. Et si vous êtes victime ?

  1. Faites opposition immédiatement. Si vous avez communiqué des éléments sur vos moyens de paiement ou si vous avez constaté des débits frauduleux sur votre compte, faites opposition immédiatement auprès de votre banque ou via le service interbancaire d’opposition à carte bancaire au 0 892 705 705 (ouvert 7 jours/7 et 24h/24), numéro surtaxé (coût d’un appel vers un numéro fixe + 0,34 € TTC/min, depuis un téléphone fixe ou mobile).

  2. Changez immédiatement vos mots de passe : si vous avez malencontreusement communiqué un mot de passe, changez-le immédiatement sur le site ou service concerné, ainsi que sur tous les autres sites ou services sur lesquels vous utilisiez ce mot de passe compromis (tous nos conseils pour gérer au mieux vos mots de passe).

  3. Conservez les preuves, en particulier le message malveillant reçu.

  4. Entreprises, associations ou collectivités, informez vos clients, fournisseurs, prestataires et votre banque du vol d’informations dont votre organisation a pu être victime et des risques d’usurpation de votre identité qui peuvent en découler.

  5. Si vous constatez des opérations frauduleuses réalisées avec votre carte bancaire, signalez-les auprès de la plateforme Perceval du ministère de l’Intérieur. Ce service permet aux victimes de fraude à la carte bancaire de signaler en ligne l’escroquerie dont elles ont été victimes, et ce, même si elles ont été remboursées par leur banque. Votre signalement aidera les autorités à identifier les auteurs de ces fraudes. À noter que le signalement sur la plateforme Perceval ne se substitue pas au dépôt de plainte.

  6. Déposez plainte au commissariat de police ou à la brigade de gendarmerie ou par écrit au procureur de la République du tribunal judiciaire dont vous dépendez en fournissant toutes les preuves en votre possession.

    Si vous êtes un particulier, vous pouvez être accompagné gratuitement dans cette démarche par l’association  France Victimes au 116 006 (appel et service gratuits), qui opère le numéro d’aide aux victimes du ministère de la Justice. Service ouvert 7 jours sur 7 de 9h à 19h.

    Si vous êtes un professionnel, la brigade numérique de la Gendarmerie nationale peut vous apporter une assistance en ligne 24h/24 dans vos démarches : cliquez ici.

  7. Demandez à votre banque le remboursement d’éventuelles opérations frauduleuses. Certaines banques demandent la preuve du dépôt de plainte ou le récépissé de signalement Perceval pour instruire votre demande. Notez que ce remboursement ne peut pas être considéré comme acquis s’il résulte d’une négligence de votre part.

  8. Signalez le message reçu et le site d’hameçonnage aux différents services présentés au chapitre précédent.

  9. Pour être conseillé dans vos démarches, contactez la plateforme Info Escroqueries du ministère de l’Intérieur au 0 805 805 817 (appel et service gratuits). Le service est ouvert de 9h à 18h30 du lundi au vendredi.

À lire aussi :

En fonction du cas d’espèce, les infractions suivantes peuvent être retenues :

Escroquerie (article 313-1 du code pénal) : l’escroquerie est le fait, soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’abus d’une qualité vraie, soit par l’emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge. Délit passible d’une peine d’emprisonnement de cinq ans et de 375 000 euros d’amende.


– Collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite (article 226-18 du code pénal) : une telle collecte constitue un délit passible d’une peine d’emprisonnement de cinq ans et de 300 000 euros d’amende.


– Accès frauduleux à un système de traitement automatisé de données (article 323-1 du code pénal) : le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est passible de deux ans d’emprisonnement et de 60 000 euros d’amende. Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 100 000 euros d’amende.


Contrefaçon et usage frauduleux de moyen de paiement (articles L163-3 et L163-4 du code monétaire et financier) : délit passible d’une peine d’emprisonnement de sept ans et de 750 000 euros d’amende.