SGCA

Impôts : comment éviter arnaques et phishing pendant la période de déclaration

comment éviter arnaques et phishing pendant la période des impôts
Catherine LEMÉE

Pendant la déclaration de revenus, les arnaques aux impôts jouent toujours sur les mêmes leviers : l’urgence, la peur ou la promesse d’un remboursement. Le bon réflexe n’est pas de “faire vite”, mais de ralentir 20 secondes : vérifier l’adresse, ne jamais cliquer depuis un SMS, et passer directement par impots.gouv.fr. C’est souvent ce simple détour qui évite le piège.

En bref :

  • Les faux remboursements d’impôt restent l’un des pièges les plus classiques.
  • Les messages accusant de fraude fiscale ou menaçant de sanctions sont aussi très utilisés.
  • La DGFiP ne demande jamais votre carte bancaire par mail, SMS ou téléphone pour un remboursement ou un paiement.
  • Le site officiel est dans le domaine .gouv.fr, et les adresses mail officielles utilisent @dgfip.finances.gouv.fr.
  • Le bon réflexe est de taper vous-même l’adresse du site au lieu de suivre un lien reçu.
  • Si vous avez cliqué ou donné des données bancaires, il faut agir tout de suite, pas “attendre de voir”.

Pourquoi les arnaques explosent pendant la période de déclaration

La période fiscale crée un contexte parfait pour les escrocs : chacun s’attend à recevoir des messages, à se connecter à son espace, à vérifier un montant, à corriger une donnée ou à attendre un remboursement. Les messages frauduleux paraissent donc plus crédibles que le reste de l’année.

Le piège repose presque toujours sur l’un de ces trois ressorts :

  • la promesse : “vous avez droit à un remboursement” ;
  • la peur : “fraude détectée”, “mise en demeure”, “pénalité imminente” ;
  • l’urgence : “48 heures pour agir”, “compte suspendu”, “régularisation immédiate”.

Une période où l’on attend des messages officiels est toujours une période où les faux messages paraissent plus vrais.

Les 5 arnaques les plus fréquentes à connaître

Les formes changent un peu, mais le mécanisme reste le même : vous pousser à cliquer, à vous identifier ou à donner vos coordonnées bancaires.

  1. Le faux remboursement d’impôt
    Le message annonce un “trop-perçu”, un virement à récupérer ou un remboursement bloqué. Il renvoie vers un faux site qui imite impots.gouv.fr et demande vos coordonnées bancaires.
  2. Le faux message de fraude fiscale
    Le ton est plus agressif : vous êtes accusé de fraude, d’évasion fiscale ou d’arriérés, avec menace d’amende, d’huissier ou de poursuites si vous ne payez pas rapidement.
  3. La fausse mise à jour de dossier ou de RIB
    Le message vous demande de “mettre à jour” votre situation, vos coordonnées ou votre compte bancaire, parfois sous couvert d’un contrôle banal ou d’une opération de sécurité.
  4. Le faux site ou la fausse application impôts
    Le message vous pousse à installer une application ou à vous connecter sur une adresse qui ressemble à impots.gouv.fr sans l’être vraiment.
  5. L’appel ou le SMS qui veut vous faire valider un code
    On vous demande un code reçu par SMS, une validation “pour annuler une fraude” ou une confirmation soi-disant nécessaire. C’est souvent l’étape qui permet de vider le compte bancaire ensuite.

Le piège le plus rentable pour l’escroc n’est pas seulement de vous faire cliquer : c’est de vous faire agir dans l’urgence sans vérifier.

La checklist anti-phishing en 20 secondes

Avant d’ouvrir un lien ou de répondre, il suffit souvent d’une vérification très simple.

  • Regardez l’adresse de l’expéditeur, pas seulement le nom affiché.
  • Vérifiez le domaine : les mails officiels de la DGFiP utilisent @dgfip.finances.gouv.fr.
  • Vérifiez l’adresse du site : un vrai site fiscal public est dans le domaine .gouv.fr.
  • Méfiez-vous des adresses qui “ressemblent” : lettres inversées, extension bizarre, tirets ou mots ajoutés.
  • Méfiez-vous des délais imposés : 24 h, 48 h, “dernier rappel”, “blocage immédiat”.
  • Refusez toute demande de carte bancaire, de code SMS ou de mot de passe reçue par message ou appel inattendu.

Le plus utile n’est pas de devenir expert en cybersécurité, mais de garder ce réflexe simple : en cas de doute, ne pas passer par le lien reçu.

Le moyen le plus sûr pour déclarer : toujours repartir du site officiel

Quand vous devez déclarer vos revenus ou consulter votre dossier, le chemin le plus sûr reste le plus simple :

  • ouvrez votre navigateur ;
  • tapez vous-même impots.gouv.fr ;
  • ou passez par un favori enregistré que vous avez créé vous-même ;
  • ne partez jamais d’un lien reçu par SMS ou mail.

Ce réflexe évite la majorité des faux sites. Il faut aussi retenir qu’aucune application particulière n’est nécessaire sur ordinateur pour accéder à impots.gouv.fr. Si un message vous demande d’en installer une, c’est un très mauvais signe.

Le chemin le plus sûr vers votre espace fiscal ne commence pas dans votre messagerie : il commence dans votre barre d’adresse.

Les signes qui doivent vous faire arrêter tout de suite

Certains indices suffisent à considérer le message comme suspect, même si la mise en forme semble sérieuse.

  • On vous demande votre numéro de carte bancaire pour un remboursement ou une régularisation.
  • On vous demande un code reçu par SMS ou une validation bancaire “pour sécuriser votre dossier”.
  • Le message parle de prison, de police, d’huissier ou de sanction immédiate.
  • Le ton est inhabituellement pressant, menaçant ou culpabilisant.
  • L’adresse du site n’est pas en .gouv.fr.
  • Le message vous pousse à agir hors de votre espace habituel.

Le détail important, c’est qu’un faux message n’a pas besoin d’être mal écrit pour être frauduleux. Aujourd’hui, beaucoup sont visuellement très convaincants.

Si vous avez cliqué, quoi faire selon ce que vous avez donné

La bonne réaction dépend surtout des informations que vous avez déjà communiquées.

1) Vous avez seulement ouvert le message ou cliqué, sans rien saisir

  • Fermez la page.
  • Ne téléchargez rien.
  • Supprimez le message.
  • Signalez-le si possible.

2) Vous avez saisi vos identifiants ou des données personnelles

  • Changez immédiatement le mot de passe concerné.
  • Si ce mot de passe était réutilisé ailleurs, changez-le aussi sur les autres services concernés.
  • Surveillez votre espace fiscal et vos boîtes mail.

3) Vous avez donné votre carte bancaire, un code SMS ou validé une opération

  • Contactez immédiatement votre banque.
  • Faites opposition si nécessaire.
  • Vérifiez vos opérations et demandez l’annulation de celles qui sont frauduleuses.
  • Conservez toutes les preuves : message, capture, URL, numéro appelant, heure.

En matière de phishing, la première heure compte souvent plus que la première explication.

Où signaler le message ou l’arnaque

Le signalement ne remplace pas toujours les démarches bancaires ou la plainte, mais il aide à limiter les campagnes en cours et à documenter la fraude.

  • SMS frauduleux : signalement au 33700.
  • Mail frauduleux : signalement via Signal Spam.
  • Site de phishing : signalement sur les services publics de signalement en ligne.
  • Fraude à la carte bancaire : signalement via Perceval si vous êtes concerné.

Si vous avez un doute, vous pouvez aussi contacter directement l’administration par ses canaux habituels, et non en répondant au message reçu.

Les erreurs les plus fréquentes pendant la déclaration

  • Cliquer parce que le montant paraît plausible.
  • Réagir à la peur d’une pénalité avant de vérifier.
  • Se fier au logo ou au nom affiché sans regarder l’adresse réelle.
  • Penser qu’un SMS est “plus officiel” qu’un mail.
  • Valider un code SMS bancaire pour “bloquer une fraude”.
  • Attendre le lendemain après avoir donné sa carte ou ses identifiants.

Le plus mauvais réflexe reste souvent celui-ci : vouloir régler le problème depuis le message qui l’a créé.

Une vraie alerte fiscale supporte toujours une vérification ; une arnaque, elle, a besoin que vous alliez trop vite.

Tableau pratique : comment réagir selon le type de message

Message reçu Ce qu’il faut penser Le bon réflexe
“Vous avez droit à un remboursement, cliquez ici” Très forte probabilité de phishing Ne pas cliquer, aller vous-même sur impots.gouv.fr si vous voulez vérifier
“Fraude fiscale détectée / dernier rappel / huissier” Message de pression typique Ne pas répondre, ne pas payer, vérifier depuis votre espace officiel
“Mettez à jour vos coordonnées / votre RIB” Demande sensible à vérifier absolument Ne jamais transmettre d’infos bancaires depuis le lien reçu
SMS avec lien “impôts” ou “trop-perçu” Très suspect Ne pas cliquer, signaler au 33700
Appel demandant un code reçu par SMS Risque d’escroquerie bancaire ou de compte compromis Raccrocher, contacter vous-même votre banque ou le service officiel
Mail ou site avec adresse étrange, fautes légères ou extension inhabituelle Usurpation probable Fermer, supprimer, repartir d’une adresse saisie à la main

Quand demander de l’aide rapidement

Il faut agir sans attendre si :

  • vous avez saisi vos coordonnées bancaires ;
  • vous avez validé un code SMS ou une opération bancaire ;
  • vous constatez un débit inhabituel ;
  • vous ne pouvez plus accéder à votre compte ;
  • vous avez donné beaucoup d’informations personnelles à un faux site.

Dans ce cas, l’ordre logique est simple : banque d’abord si l’argent ou la carte sont en jeu, puis changement des mots de passe, conservation des preuves et signalement.

En matière d’arnaque fiscale, mieux vaut un faux doute traité trop vite qu’un vrai phishing traité trop tard.

Questions fréquentes

Les impôts envoient-ils parfois des mails ?
Oui, mais cela ne change pas la règle de prudence : vérifiez l’adresse réelle de l’expéditeur et, en cas de doute, ne passez jamais par le lien contenu dans le message.

Un SMS annonçant un remboursement d’impôt peut-il être vrai ?
C’est un très mauvais signe. Un SMS avec lien pour récupérer un trop-perçu doit être considéré comme suspect.

Comment reconnaître le vrai site ?
Le plus sûr est de taper vous-même l’adresse. Les sites fiscaux officiels sont dans le domaine .gouv.fr.

Que faire si j’ai seulement cliqué sans rien remplir ?
Fermez la page, ne téléchargez rien, supprimez le message et surveillez simplement la situation.

Que faire si j’ai donné ma carte bancaire ?
Contactez immédiatement votre banque, faites opposition si nécessaire et conservez toutes les preuves.

Le signe le plus révélateur d’une arnaque, c’est quoi ?
Souvent, c’est la combinaison d’un message pressant, d’un lien reçu, et d’une demande d’information sensible : carte bancaire, code SMS ou mot de passe.

À lire également

À la une

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous devez remplir ce champ
Vous devez remplir ce champ
Veuillez saisir une adresse e-mail valide.
Vous devez accepter les conditions pour continuer