[Info Clubic] Un e-mail qui prétend émaner de la Direction générale des Finances publiques (DGFiP) circule en ce moment, en menaçant les détenteurs de crypto-actifs d'une procédure fiscale d'urgence. Un phishing qui peut faire des victimes.
L'e-mail frauduleux qui est diffusé en ce moment dans nos messageries électroniques imite les codes de l'administration fiscale française. Qu'il s'agisse du logo de la DGFiP, de l'en-tête officiel, des références législatives ou du ton comminatoire, tout y est ou presque. Le courrier électronique invoque même la directive européenne DAC8, bien réelle, pour exiger une régularisation fiscale sous cinq jours, sous peine d'une amende pouvant atteindre 500 000 euros et de cinq ans d'emprisonnement. Sauf que l'expéditeur n'a rien d'officiel, et que les incohérences du document trahissent fort heureusement la supercherie.
Un mail frauduleux qui imite la DGFiP et mise sur la panique fiscale pour faire des victimes
Ce qui rend ce mail dangereux, c'est d'abord son apparence. On retrouve le logo de la Direction générale des Finances publiques, une mise en page assez crédible, des références à une vraie directive européenne, la DAC8, entrée en vigueur fin 2025, qui oblige effectivement les détenteurs de crypto-actifs à déclarer leurs portefeuilles numériques au fisc. Pour quelqu'un qui possède du bitcoin ou suit l'actualité fiscale, le scénario est suffisamment réaliste pour inquiéter.
Mais l'arnaque se trahit dès le premier regard. L'e-mail est envoyé depuis info[@]cainshvacr.com, un domaine sans aucun rapport avec l'État français, alors que la vraie DGFiP n'écrit que depuis des adresses en @dgfip.finances.gouv.fr. Le détail qui finit de lever le doute est que le message sur lequel nous sommes tombés a été expédié à 3h12 du matin. Aussi diligente soit-elle, l'administration fiscale française ne pratique pas le redressement nocturne.
Dernier indice flagrant, outre quelques majuscules absentes, notamment sur la mention « Direction générale des finances publiques », et non des moindres, le document se contredit lui-même. La loi censée justifier le contrôle fiscal est citée deux fois, avec deux références différentes, « n° 2025-1847 du 22 novembre 2025 » à un endroit, « n° 2026-1847 du 22 novembre 2026 » à un autre. Une vraie administration ne commet pas ce type d'erreur. Mais sous l'effet de la panique, ce genre de détail passe facilement inaperçu, et c'est exactement ce que se disent les escrocs.
Comment signaler ce mail frauduleux et protéger ses données personnelles
Le pemier réflexe que vous devez adopter si vous recevez ce mail, c'est de ne toucher à rien. Pas de clic sur les liens, pas de réponse, pas d'appel aux numéros indiqués. Si vous voulez vérifier votre situation fiscale, il n'y a qu'une seule bonne façon de le faire. Il faut ouvrir un nouvel onglet et taper vous-même impots.gouv.fr dans la barre d'adresse. Un vrai message de la DGFiP apparaît toujours dans la messagerie sécurisée de votre espace personnel sur le site, jamais uniquement dans votre boîte mail.
Signaler l'e-mail, c'est aussi protéger les autres. Sur signal-spam.frpar exemple, en quelques clics, vous transmettez l'adresse de l'escroc aux autorités compétentes, dont la CNIL, le gendarme des données. Si le courrier électronique contient un lien vers un faux site imitant impots.gouv.fr, l'adresse de ce site peut être signalée sur cybermalveillance.gouv.fr, la plateforme officielle de lutte contre les arnaques en ligne. Et si vous estimez avoir été victime d'une tentative d'escroquerie caractérisée, rendez-vous sur Pharos (internet-signalement.gouv.fr), le portail de signalement des contenus illicites sur internet.
Si, par malheur, vous avez cliqué sur un lien ou saisi des informations personnelles, chaque minute compte. Changez immédiatement les mots de passe de votre messagerie, de votre compte impots.gouv.fr et de votre banque, et activez la double authentification, cette vérification en deux étapes qui sécurise l'accès à vos comptes. Si vous avez communiqué des coordonnées bancaires, appelez votre banque sans attendre pour bloquer d'éventuelles opérations frauduleuses. Enfin, gardez le mail et faites des captures d'écran : ce sont vos preuves si vous déposez plainte.
