Le bruit sur les réseaux et forums de cybersécurité tourne une fois de plus autour d'un piratage présumé de l'Agence fiscaleUn groupe appelé Qilin affirme avoir obtenu 60 Go d'informations qui, selon sa version, appartiennent au Trésor et circulent déjà dans les espaces du dark web.
L'alerte est venue du compte spécialisé Hackmanac sur X, qui a diffusé l'existence du matériel et la paternité attribuée à Qilin, bien que n'a pas fourni de détails techniques vérifiables Concernant la portée ou l'origine exacte des données. La publication cite 238 799 dossiers et la diffusion d'un petit échantillon.
Ce que l'on sait de l'incident
D'après les captures d'écran et les messages postés sur X, Qilin aurait publié une offre sur un forum du dark web avec « 60 Go d'informations et 238 799 fichiers », accompagnée de 16 exemples de documents à l'appui de ses dires. Le dark web, accessible via des logiciels et des réseaux spécifiques, facilite les opérations anonymes et complique la traçabilité de ces échanges.
Une nuance pertinente est que, contrairement à d’autres épisodes de ransomware, un plan de sauvetage n'a pas été envisagé Adressée au gouvernement espagnol ou à l'AEAT. La base de données présumée aurait été mise en vente, ce qui correspond aux modèles de monétisation où les attaquants échangent des informations contre des campagnes de phishing, de fraude ou d'usurpation d'identité.
Réponse institutionnelle et signes indiquant une tierce partie
Des sources de l'Agence fiscale ont déclaré au journal El Debate que, après une première analyse, l'épisode est similaire à ce qui s'est passé fin 2024 et que « aurait affecté une société de gestion », déconnectant l'incident des systèmes AEAT. Si cela se confirme, nous serions confrontés à une faille chez un fournisseur ou un intermédiaire gérant les données fiscales de clients et de PME.
Parallèlement, plusieurs analystes et utilisateurs sur X ont souligné que les échantillons publiés par Qilin semblent correspondre à un cabinet d'expertise comptable ou de conseilL'un des messages viraux soulignait même que le site Web de l'entreprise ne répond que via HTTP (sans cryptage), un indicateur de mauvaises pratiques qui pourraient faciliter les intrusions ou les exfiltrations si d'autres failles se produisaient.
Qui est Qilin et comment fonctionnent-ils ?
Qilin est un groupe avec une histoire dans l'écosystème de la cybercriminalité à laquelle ils attribuent campagnes d'extorsion et ventes de donnéesDans ce cas, le modèle décrit publiquement n'inclut pas une négociation de rançon avec l'AEAT, mais plutôt la commercialisation directe du butin présumé sur des forums fermés, une tactique de plus en plus courante lorsque les attaquants recherchent une liquidité rapide ou maximisent la valeur avec plusieurs acheteurs.
Si les informations proviennent d'un tiers lié au domaine fiscal et du travail, le vecteur d'entrée pourrait être constitué d'informations d'identification compromises, exposition de services sans cryptage, des erreurs de configuration ou des vulnérabilités non corrigées. Sans expertise indépendante, il est encore impossible de déterminer le point de compromission exact.
Précédent récent : l'affaire Trinity
Fin 2024, une autre attaque massive présumée a été signalée : le groupe Trinity a affirmé avoir volé 560 Go de données confidentielles et a réclamé 38 millions de dollars sous menace de divulgation. L'AEAT a ensuite indiqué que ses services fonctionnaient normalement et, après une enquête préliminaire, il a été conclu que la partie concernée était une entité privée dans le domaine du conseil fiscal et social, et non l’Agence elle-même.
Ce précédent renforce l’hypothèse selon laquelle intermédiaires et fournisseurs Les autorités fiscales sont devenues une cible de grande valeur pour les attaquants, concentrant des informations sensibles provenant de plusieurs clients sans toujours avoir les mêmes normes de sécurité que les organismes publics.
Risques pour les citoyens et recommandations
Si certaines des informations divulguées étaient authentiques et réutilisables, l’impact le plus probable serait une augmentation des tentatives de piratage. phishing et fraude Ciblage des contribuables. Les criminels se font souvent passer pour des communications du Trésor pour inciter leurs victimes à fournir leurs identifiants, leurs coordonnées bancaires ou à effectuer des paiements non autorisés.
- Méfiez-vous des SMS, des e-mails ou des appels demandant des informations urgentes, des paiements immédiats ou des installations de fichiers.
- Vérifiez les expéditeurs et les domaines ; accédez au Bureau électronique en tapant l'URL officielle dans votre navigateur.
- Ne cliquez pas sur des liens raccourcis ou des pièces jointes inattendues ; vérifiez les horodatages et les signatures électroniques.
- Activez le double facteur lorsqu'il est disponible (Cl@ve, services bancaires) et examinez périodiquement les transactions et les notifications.
- Si vous soupçonnez une fraude, conservez les preuves et signalez-les ; consultez l’INCIBE et les ressources des forces de l’ordre.
Ce qui reste à clarifier
Des points clés restent à vérifier : l'origine réelle des fichiers, la authenticité des échantillons publiés, l'étendue des personnes et des entreprises affectées, la chronologie de l'incident et le vecteur d'intrusion. Il reste également à déterminer si l'entité identifiée comme source potentielle prendra des mesures publiques et informera les personnes concernées, comme l'exige la loi.
Pour le moment, les pièces s'assemblent plus en une seule lacune dans une société de gestion ou de services Cela compromet directement les systèmes de l'AEAT. Dans un contexte de forte exposition aux tentatives de fraude, il est recommandé de faire preuve d'une extrême prudence avec toute communication utilisant la marque Hacienda et de suivre les bonnes pratiques numériques pendant la progression des enquêtes.
