le Service des recettes internes (IRS) a révélé aujourd’hui que des voleurs d’identité ont abusé d’une fonctionnalité du site Web de l’agence pour extraire des données sensibles sur plus de 330 000 victimes potentielles dans le cadre d’un stratagème visant à déposer des demandes de remboursement d’impôt frauduleuses. Le nouveau chiffre est bien plus élevé que le nombre d’Américains qui, selon l’IRS, étaient potentiellement touchés lorsqu’il a reconnu la vulnérabilité pour la première fois en mai 2015 – deux mois après que BreachTrace a sonné l’alarme pour la première fois sur la faiblesse.
En mars 2015, j’ai conseillé aux lecteurs de s’inscrire sur IRS.gov avant que les escrocs ne le fassent pour vous – qui suivait l’histoire cauchemardesque de Michel Kasper, l’un des millions d’Américains victimes de fraude au remboursement d’impôt chaque année. Lorsque Kasper a tenté d’obtenir une transcription de la déclaration frauduleuse à l’aide de la fonction « Get Transcript » sur IRS.gov, il a appris que quelqu’un s’était déjà enregistré sur le site de l’IRS en utilisant son numéro de sécurité sociale et une adresse e-mail inconnue.
Deux mois plus tard, le commissaire de l’IRS Jean Koskinen a reconnu publiquement que des escrocs avaient utilisé cette fonctionnalité pour extraire des données sensibles sur au moins 110 000 contribuables. Aujourd’hui le Presse associée et autres médias signalé que l’IRS est en train de réviser ces chiffres, estimant que 220 000 victimes potentielles supplémentaires se sont fait voler des numéros de sécurité sociale et des informations provenant des déclarations de revenus des années précédentes via le site Web de l’IRS.
« Au total, les voleurs ont utilisé les informations personnelles d’environ 610 000 contribuables dans le but d’accéder aux anciennes déclarations de revenus », note l’histoire de l’AP. « Ils ont réussi à obtenir des informations d’environ 334 000 contribuables. »
UN PROCESSUS BRISÉ
L’expérience de l’IRS devrait renseigner les consommateurs sur l’efficacité de la technologie que l’IRS, les banques et d’innombrables autres organisations utilisent pour filtrer les demandes d’informations sensibles.
Comme je l’ai signalé en mars, les contribuables qui souhaitaient obtenir une copie de leur relevé de notes le plus récent devaient fournir à l’IRS les informations suivantes : le nom du demandeur, sa date de naissance, son numéro de sécurité sociale et son statut de dépôt. Une fois ces données fournies avec succès, l’IRS utilise un service du bureau de crédit Équifax qui pose quatre questions dites « d’authentification basée sur la connaissance » (KBA). Toute personne qui réussit à fournir les bonnes réponses peut voir la transcription fiscale complète du demandeur, y compris les W2 antérieurs, les W2 actuels et plus ou moins tout ce dont on aurait besoin pour demander frauduleusement un remboursement d’impôt.
Ces questions KBA – qui impliquent des questions à choix multiples, « hors portefeuille » telles que l’adresse précédente, les montants et les dates des prêts – peuvent être énumérées avec succès avec des devinettes aléatoires. Mais en pratique, c’est beaucoup plus facile, comme le montre le fait que les voleurs ont réussi à naviguer dans les multiples questions plus de la moitié des fois qu’ils ont essayé.
Si des lecteurs ici doutent de la facilité avec laquelle il est possible d’acheter des données personnelles sur à peu près n’importe qui, consultez l’article que j’ai écrit en décembre 2014, dans lequel j’ai pu trouver le nom, l’adresse, le numéro de sécurité sociale, l’adresse précédente et le numéro de téléphone de tous membres actuels de la Comité du commerce du Sénat américain. Ces informations ne sont plus secrètes (ni les réponses aux questions basées sur la KBA), et nous sommes tous vulnérables au vol d’identité tant que les institutions continueront à s’appuyer sur des informations statiques comme authentificateurs.
Malheureusement, l’IRS n’est pas la seule agence gouvernementale dont le recours aux identifiants statiques les rend en fait complices du vol d’identité contre les Américains. Le même processus décrit pour obtenir une transcription fiscale sur irs.gov fonctionne pour obtenir un rapport de crédit gratuit de rapportannueldecredit.com, un site Web mandaté par le Congrès. De plus, les Américains qui n’ont pas encore créé de compte au Administration de la sécurité sociale sous leur numéro de sécurité sociale sont vulnérables aux escrocs qui détournent les prestations de la SSA maintenant ou à l’avenir. Pour en savoir plus sur la façon dont les escrocs détournent les prestations de sécurité sociale via les sites gouvernementaux, consultez cette histoire.
L’IRS EST TOUJOURS VULNÉRABLE
L’IRS a répondu au problème du vol d’identité fiscale en partie en offrant Codes PIN de protection de l’identité (IP PIN) aux contribuables concernés qui doivent être fournis sur la demande d’impôt de l’année suivante avant que l’IRS n’accepte la déclaration. Cependant, selon Kasper – la victime du vol d’identité fiscale dont l’histoire a été à l’origine de mon reportage sur le problème d’abus Get Transcript en mars – le site Web IRS.gov permet aux consommateurs qui ont perdu leurs codes PIN IP de les récupérer, et Incroyablement, cette fonctionnalité utilise toujours la même méthode d’authentification sur laquelle s’appuie la fonction défectueuse Get Transcript de l’IRS.
« À moins qu’ils n’aient bloqué l’accès en ligne pour ces 330 000 personnes, ces 330 000 sont vulnérables car leur code PIN IP est obtenu par les mêmes personnes qui ont obtenu leur relevé de notes », a déclaré Kasper. « Ces personnes ont déjà été victimes, et ce processus de récupération du code PIN IP expose potentiellement ces personnes à être à nouveau victimes via l’IRS. »
Kasper, qui a témoigné de son expérience le 2 juin 2015 devant la commission sénatoriale de la sécurité intérieure et des affaires gouvernementales, a déclaré que l’IRS pourrait atténuer le problème en permettant aux contribuables de verrouiller les détails de leur remboursement.
« Cela pourrait être fait soit avec un formulaire et des pièces d’identité à l’appui, soit avec une case à cocher sur votre déclaration de revenus qui s’appliquerait à la déclaration de revenus de l’année suivante », a déclaré Kasper. « Contrairement aux codes PIN de protection de l’identité, personne ne peut perdre son adresse personnelle ou son numéro de compte bancaire. Si quelqu’un doit le modifier, il peut renvoyer le formulaire. En conséquence, il devrait être facile de permettre aux gens de s’inscrire à l’échelle nationale pour éviter les remboursements volés.
L’IRS a déclaré qu’il avisait toutes les victimes potentielles et offrait des services gratuits de surveillance du crédit. Mais ce n’est guère une solution utile. J’ai longtemps exhorté les lecteurs à compter plutôt sur le gel de leurs dossiers de crédit auprès des quatre principaux bureaux de crédit comme moyen de contrecarrer les voleurs d’identité (pour en savoir plus sur ce qu’est un gel de sécurité et pourquoi il est supérieur à la surveillance du crédit, voir Comment j’ai appris à arrêter de m’inquiéter et adopter le gel de la sécurité).
Les gels de crédit empêchent les créanciers potentiels d’approuver de nouvelles marges de crédit en votre nom – et même de pouvoir consulter ou « extraire » votre dossier de crédit – mais un gel n’empêchera pas nécessairement les fraudeurs de produire de fausses déclarations de revenus en votre nom.
À moins, bien sûr, que les escrocs en question comptent obtenir vos relevés de notes fiscaux – ou récupérer votre code PIN IP – via le site Web de l’IRS. Selon l’IRS, les personnes dont le dossier est gelé doivent lever le gel (avec Equifax, au moins) avant que l’agence ne puisse continuer avec les questions KBA dans le cadre de son processus de vérification.