Le site officiel Impots.gouv.fr a activé, mercredi, la double authentification automatique pour 38 millions de particuliers. La Direction générale des Finances publiques (DGFiP) rend ainsi obligatoire le code de sécurité par e-mail.
Si vous naviguez sur le site des impôts à partir de ce mercredi 25 juin 2025, vous allez trouver du changement ! Si l'interface d'identification n'a pas été modifiée, la Direction générale des Finances publiques a ajouté une couche supplémentaire de sécurité : la double authentification. Désormais, les contribuables français doivent utiliser un code de sécurité envoyé par e-mail pour accéder à leur espace fiscal personnel. Voyons si tout cela fonctionne, et comment.
Le code de sécurité par e-mail devient obligatoire sur Impots.gouv.fr
L'administration fiscale a renforcé la sécurité de la plateforme Impots.gouv.fr. Depuis mercredi, après avoir saisi votre identifiant fiscal et mot de passe habituels, vous devrez obligatoirement renseigner un code à six chiffres. Ce précieux sésame arrive directement dans votre boîte email via l'adresse dédiée [email protected].
La mesure devenait indispensable, l'explosion des tentatives d'usurpation d'identité et de fraude en ligne étant la réalité. L'Eure-et-Loir et le Pas-de-Calais servaient jusqu'à maintenant de terrain d'expérimentation. Le dispositif, compatible avec tous les supports (ordinateur, mobile, application), a convaincu la DGFiP d'étendre la mesure.
Nous avons le test, et effectivement, ça fonctionne. Notez qu'en plus, le système est prévu pour seulement trois tentatives. Autrement dit, si un robot ou un pirate essaie de forcer votre accès, il devra avoir beaucoup de chance. Quant au code envoyé par mail, il est valable 30 minutes. Un délai un poil long, mais honnête.
« Le choix technique est judicieux : l'authentification par code temporaire envoyé par e-mail reste universelle et ne nécessite aucune application spécifique », commente l'expert en cybersécurité Benoit Grunemwald, d'ESET France. « Cette approche évite l'écueil de nombreux dispositifs 2FA qui excluent une partie des utilisateurs moins technophile », ajoute-t-il.
Six mois de tranquillité après la première authentification réussie, c'est trop
Les utilisateurs réguliers, qui se connectent plusieurs fois par mois ou par trimestre, devront-ils rentrer un code à chaque connexion ? Non ! Le système prévoit une validation de six mois après la première connexion réussie. Concrètement, si vous utilisez toujours le même appareil et navigateur, vous n'aurez pas besoin de ressaisir un code pendant un semestre entier.
Cette période nous semble un peu trop longue à vrai de. Benoit Grunemwald nous le confirme : « Face à la recrudescence des infostealers, ces logiciels malveillants qui volent les données de connexion stockées dans les navigateurs, une durée de 30 à 60 jours serait plus appropriée. » On se range plutôt derrière son avis.
L'administration a aussi prévu des garde-fous. Un accès temporaire de secours reste maintenu en cas de difficulté technique, ce qui évite de compromettre vos obligations déclaratives. Les centres des Finances publiques sont mobilisés pour accompagner les usagers.
La prochaine étape est celle du déploiement aux comptes professionnels. En attendant, il n'est pas idiot de compléter cette double authentification par des solutions comme le gestionnaire de mots de passe, qui évite d'utiliser le même mot de passe sur plusieurs services et sites. Un début de protection correct.
