On s'attendrait à ce que l'IRS sécurise sa présence sur le web au moins aussi bien qu'une banque, mais une récente attaque automatisée sur le site IRS montre la vulnérabilité du code PIN de l'IRS (numéro d'identification personnel) le système peut être. Le 9 février 2016, l'IRS a signalé une attaque automatisée dans laquelle environ 101 000 numéros de sécurité sociale (SSN) ont été utilisés pour accéder avec succès aux codes PIN des fichiers électroniques. Des tentatives non autorisées ont été faites sur environ 464 000 SSN uniques.

L'IRS informe les personnes touchées par la violation et met des protections supplémentaires aux comptes concernés pour se protéger contre le vol d'identité. (Pour en savoir plus sur le sujet, voir Comment protéger vos déclarations de revenus contre le vol d'identité et Vol d'identité d'impôt sur le revenu: comment revenir .)

Le problème n'est pas nouveau les leurs. En fait, en 2013, le vol d'identité a été nommé par l'IRS comme l'arnaque numéro un qu'il doit combattre. Sachant que c'est un problème, il est surprenant que l'IRS n'a pas fait plus pour sécuriser son site Web de fichiers électroniques.

Le 18 février, Joseph Henchman, vice-président des projets juridiques et d'État pour la Fondation de l'impôt, a écrit au commissaire de l'IRS, John Koskinen, pour lui signaler des problèmes avec le programme «Get My Electronic». Filing PIN "page sur le site Web de l'IRS. Cette page, "qui permet aux contribuables d'obtenir un numéro de fournisseur IRS pour déposer leurs impôts en ligne," a-t-il écrit, "nécessite une telle information minimale que tout voleur de données digne de ce nom aurait déjà. Actuellement, toute personne qui a le numéro de sécurité sociale de quelqu'un, l'adresse et la date de naissance peut voler l'identité de quelqu'un en utilisant cette page IRS. "

Henchman a noté que les fonctionnalités qui rendraient la page plus sécurisée incluent:

Une fonctionnalité "CAPTCHA" qui nécessite de démontrer qu'il est humain.

Informations obligatoires pour lesquelles un pirate informatique ou un voleur de données n'auraient pas facilement accès, tels que les détails de la déclaration de revenus de l'année précédente pour vérifier l'identité.

• De plus, quand Henchman a tenté d'obtenir un code PIN IRS, le navigateur Web Chrome qu'il a utilisé a averti que la page IRS "utilise une configuration de sécurité faible" et que "la connexion est cryptée avec une suite cypher obsolète . "
• Henchman a écrit:" Le fait de demander un code PIN pour déposer électroniquement est de minimiser le vol d'identité, il est donc tristement paradoxal que le processus d'obtention d'un code PIN électronique soit si simple qu'il ne sert à rien au mieux et faciliter le vol d'identité au pire. "

La réponse de l'IRS

En réponse à la lettre de la Fondation fiscale, l'IRS a publié une déclaration selon laquelle" nous ne discutons pas de nos protocoles ou systèmes sous-jacents. "En ce qui concerne spécifiquement l'utilisation des fonctionnalités CAPTCHA, l'IRS a ajouté:" Il n'y a pas toujours des solutions simples aux problèmes dans ce domaine en évolution rapide impliquant la cybersécurité.Par exemple, de nombreuses techniques "CAPTCHA" ont des faiblesses que les attaquants intelligents peuvent surmonter. "Malgré cela, l'IRS a assuré les contribuables, il" continue à surveiller de près l'application PIN du fichier électronique ainsi que nos autres systèmes, et nous prendrons des mesures au besoin pour protéger les contribuables. "

La Fondation fiscale a d'abord appris le problème de Luca Gattoni-Celli des analystes fiscaux, qui a publié l'alerte le 18 février. Les analystes fiscaux ont été contactés par un ancien agent de revenu IRS, Kevin Johnson, qui a jugé le processus déconcertant car il est trop facile d'obtenir les codes PIN. "

The Bottom Line

Le NIP de dépôt électronique est censé donner aux citoyens des États-Unis l'assurance que leurs dossiers auprès de l'IRS sont sécurisés. De toute évidence, cette violation soulève des questions sur le niveau de sécurité actuellement en place. Regardez votre courrier pour une lettre de l'IRS, au cas où vous avez un des numéros de sécurité sociale qui aurait pu être piraté.

L'IRS a publié une déclaration indiquant qu'il est conscient du problème et qu'il a mis en place des protections supplémentaires. L'IRS a également souligné que les systèmes de traitement sont différents: «Les systèmes de traitement sont séparés et distincts de l'application PIN du fichier électronique, et les informations du contribuable n'ont pas été compromises sur cette plate-forme critique. "

En savoir plus sur la protection de soi

Comment vous protéger contre le vol d'identité

.