Une faille de sécurité potentiellement critique aurait été découverte sur le site impots.gouv.fr. Selon les hackers de LunarisSec, une attaque par injection SQL permettrait d’extraire les données sensibles des contribuables français.
Les services numériques de l’État français sont vivement critiqués pour leurs failles de sécurité qui entraînent de nombreuses fuites de données compromettantes. Après le piratage récent de l’Agence nationale des titres sécurisés (ANTS), c’est le site impot.gouv.fr qui serait menacé. Une faille de sécurité potentiellement critique aurait été repérée par le groupe de hackers LunarisSec. Cette vulnérabilité aurait été détectée sur la page d’accueil du portail.
Une attaque par injection SQL permettrait d’extraire les données personnelles des contribuables. “LunarisSec a identifié une vulnérabilité critique affectant un site web officiel du gouvernement français, impots.gouv.fr, et l’a divulguée de manière responsable”, indique le collectif algérien qui a signalé sa trouvaille à l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Il assure n’avoir fait aucune tentative d’exploitation.
Le site impot.gouv.fr aurait une vulnérabilité critique
L’outil sqlmap aurait détecté la faille (SQL injection blind) sur la page d’accueil et identifié un étonnant backend Microsoft Access bien éloigné des standards de sécurité attendus en 2026 pour un service gouvernemental. “Quand on gère les impôts de 68 millions de Français, quoi de mieux qu’une base de données de bureau des années 90 ?” s’offusque le compte X KuptoKosmos qui fait du debunking et de la veille sur la cybersécurité.
Pour le moment, les autorités n’ont pas confirmé l’existence de la vulnérabilité ce qui incite à la prudence. Si celle-ci est avérée, elle pourrait permettre à des pirates de dérober les données sensibles des contribuables afin notamment de mettre en place des campagnes d’escroquerie très ciblées. Nous avons contacté l’ANSSI ainsi que le ministère de l’Économie pour obtenir davantage de précisions.
L’information survient alors que la campagne de déclaration 2026 a débuté. Une période durant laquelle les Français doivent justement se rendre sur le site impot.gouv.fr pour déclarer leurs revenus.
