Privacy, renseignements sur les menaces

Vos déclarations fiscales se vendent 20 dollars sur le dark web

par Malwarebytes Labs | 19 mars 2026
Escroqueries fiscales sur le dark web

La période des déclarations d'impôts est également la haute saison pour l'usurpation d'identité. Les malfaiteurs utilisent des données personnelles volées pour remplir de fausses déclarations d'impôts et demander des remboursements avant même que le véritable contribuable ne le fasse. Voici comment fonctionne cette fraude et comment vous en protéger.

Qu'est-ce que la fraude Identity liée à l'usurpation Identity (SIRF) ?

La fraude Identity par usurpation Identity (SIRF) est un type de fraude fiscale dans lequel des malfaiteurs dérobent les données personnelles d'une personne — telles que son numéro de sécurité sociale et sa date de naissance — et les utilisent pour déposer une fausse déclaration d'impôt au nom de cette personne afin de réclamer un remboursement d'impôt.

Les fraudeurs soumettent généralement leur fausse déclaration au début de la période fiscale, avant que le véritable contribuable ne dépose la sienne, de sorte que le remboursement leur est versé à la place de la personne légitime.

L'argent est souvent transféré sur des comptes bancaires, des cartes de débit ou à des adresses contrôlées par les criminels. Les victimes ne se rendent généralement compte de la fraude que lorsque leur véritable déclaration d'impôt est rejetée ou lorsque l'administration fiscale, comme l'Internal Revenue Service (IRS) aux États-Unis, leur signale qu'un remboursement a déjà été versé en leur nom.

Mais comment est-ce possible ? 

Alors que les Américains s'activent pour respecter la date limite annuelle de déclaration d'impôts, un écosystème caché sur le Dark Web à la vitesse supérieure, faisant de la saison des impôts une période lucrative de l'année pour les cybercriminels internationaux. Shahak Shalev, responsable mondial de la recherche sur les escroqueries et l'IA chez Malwarebytes, a déclaré :

« Les gens s'attendent à recevoir des messages concernant les impôts, les remboursements et les déclarations, ce qui rend les e-mails de hameçonnage et les fausses alertes de l'IRS d'autant plus crédibles. Parallèlement, les données personnelles nécessaires pour commettre une fraude fiscale se vendent à des prix incroyablement bas sur le dark web. Il n'est donc pas surprenant que les escrocs considèrent la période des déclarations d'impôts comme une occasion à ne pas manquer chaque année. »

Derrière l'afflux soudain de demandes de remboursement frauduleuses se cache une chaîne d'approvisionnement criminelle très bien organisée, profondément ancrée dans les forums clandestins russophones. Ces plateformes spécialisées constituent les principaux vecteurs de la fraude fiscale.  

Plutôt que de collecter des données à partir de zéro, les fraudeurs peuvent simplement acheter d'énormes ensembles de données contenant des informations personnelles identifiables (PII) volées, accompagnés de formulaires W-2 et 1040 prêts à l'emploi. Pour des opérations plus sophistiquées, les courtiers en accès initial (IAB) mettent aux enchères un accès direct au réseau de comptables agréés (CPA) et de cabinets comptables compromis.  

Au-delà des données brutes et de l'accès à celles-ci, cette économie souterraine propose une gamme complète d'outils de « fraude en tant que service », notamment des services à la demande permettant de falsifier des documents financiers justificatifs et des plateformes dédiées proposant des tutoriels étape par étape. 

  • Un cybercriminel à la recherche de complices pour commettre une fraude fiscale aux États-Unis (en s'appuyant sur des données issues de logiciels de comptabilité)
  • L'auteur de la menace vend des accès aux bases de données d'un cabinet d'expertise comptable contenant des logiciels de comptabilité
  • Un cybercriminel à la recherche de complices pour commettre une fraude fiscale aux États-Unis

Le marché noir des données à caractère personnel 

Au cœur de ce commerce illicite se trouve l’un des principaux forums clandestins en langue russe, qui fait office de place de marché incontournable où les fraudeurs achètent et revendent des données à caractère personnel liées à la fiscalité. La commercialisation de ces données est d’une efficacité stupéfiante et fonctionne de manière très similaire à une plateforme de commerce électronique classique.  

Notre équipe de recherche a recueilli plusieurs exemples révélateurs de cette activité commerciale, qui mettent en évidence une structure tarifaire claire, fondée sur la fraîcheur des données et le public cible. Dans une annonce récemment observée, un cybercriminel proposait un lot de 100 formulaires fiscaux complets pour 2 000 dollars, ce qui revient à fixer le prix d’une identité volée entièrement documentée à seulement 20 dollars.  

  • Un cybercriminel proposant à la vente des formulaires fiscaux américains et des formulaires W-2
  • Un cybercriminel propose à la vente des formulaires 1040 à prix réduit, des données à caractère personnel et des données bancaires 

À l'inverse, les anciens fichiers de données datant de l'année fiscale 2024 font l'objet de remises importantes afin d'écouler les stocks ; des dossiers hautement sensibles appartenant spécifiquement à des retraités fortunés de cette période se négocient actuellement à moins de 4 dollars par identité. 

À vendre 

Cette quantité colossale de données fiscales doit bien provenir de quelque part, et les cybercriminels ont repéré la cible idéale : les entreprises américaines spécialisées dans la préparation des déclarations fiscales et les procédures comptables.  

Du point de vue d'un pirate informatique, il est infiniment plus efficace de s'introduire dans une entreprise spécialisée qui sert de coffre-fort centralisé pour ces informations sensibles que de ratisser large en essayant de piéger des particuliers pour qu'ils divulguent leurs données personnelles. 

Vérifiez si vos données personnelles ont été exposées.

Notre équipe de recherche a récemment mis la main sur un excellent exemple de cette stratégie en action, en identifiant Dark Web proposant un accès piraté au réseau d'un cabinet de services fiscaux basé aux États-Unis. L'organisation victime est une petite entreprise, une cible typique des cybercriminels à la recherche d'un accès facile à des informations exploitables.

En exploitant ces failles systémiques, le cybercriminel a réussi à s'infiltrer discrètement dans l'infrastructure interne de l'entreprise et met désormais aux enchères un accès direct à une base de données contenant les données personnelles identifiables (PII) complètes et hautement sensibles de plus de 1 600 clients. 

Un cybercriminel met aux enchères l'accès à une base de données contenant les données personnelles de plus de 1 600 clients
Un cybercriminel met aux enchères l'accès à une base de données contenant les données personnelles de plus de 1 600 clients

Données supplémentaires à vendre 

Même lorsque les cybercriminels se heurtent à des obstacles au cours du processus de fraude — comme l'absence d'une donnée à caractère personnel ou la nécessité d'un document financier très spécifique pour la vérification —, le milieu clandestin de la cybercriminalité propose une gamme complète de services à la demande permettant de résoudre ces problèmes sans difficulté.  

Notre équipe de recherche a mis sur la piste d'un marché noir spécialisé, connu sous le nom de « Cypher – Fullz and Docs », qui se consacre à la vente d'ensembles complets et prêts à l'emploi d'identités américaines volées (communément appelées « fullz » dans le milieu) pour seulement 0,75 $ l'ensemble.  

  • La vente de données volées sur le dark web
  • Une autre publicité pour les « fullz » – des identités complètes

Cependant, disposer des données de base ne suffit parfois pas pour contourner les contrôles obligatoires.

Lorsque des documents supplémentaires sont nécessaires pour légitimer une demande frauduleuse, les cybercriminels font simplement appel à des services de falsification spécialisés tels que « Fakelab ». Pour une somme modique comprise entre 20 et 40 dollars, Fakelab fonctionne comme un studio de conception numérique illicite, falsifiant méticuleusement tout document fiscal dont un pirate pourrait avoir besoin, des formulaires W-2 personnalisés aux relevés bancaires réalistes, garantissant ainsi que l'escroquerie puisse se dérouler sans accroc. 

  • Annonce concernant des documents, notamment des formulaires médicaux et fiscaux
  • Tarifs des données

Tutoriels et conseils 

Le point culminant du cycle de la fraude fiscale — et souvent la phase la plus risquée pour le cybercriminel — est le retrait des fonds. Pour mener à bien leur escroquerie et récupérer les fonds volés, les fraudeurs ont besoin d’une infrastructure financière solide ; ils s’appuient généralement sur des comptes bancaires « relais » piratés et sur des outils financiers supplémentaires conçus pour blanchir l’argent et brouiller leurs pistes.  

Sans surprise, Dark Web fournit non seulement les outils, mais aussi les instructions détaillées nécessaires à la mise en œuvre de cette phase cruciale. Notre équipe de recherche a identifié une ressource clandestine dédiée, connue sous le nom de « Flava », qui sert de centre de formation centralisé. Cette plateforme regorge de tutoriels complets, étape par étape, expliquant en détail comment orchestrer ces stratagèmes complexes de blanchiment d'argent visant les citoyens et les résidents américains. 

Une plateforme en langue russe consacrée aux techniques de fraude financière.
Une plateforme en langue russe consacrée aux techniques de fraude financière.

Comment rester en sécurité

La fraude Identity liée à l'usurpation Identity nous rappelle que l'usurpation d'identité ne se limite pas aux achats frauduleux. Elle peut avoir des répercussions sur des aspects aussi fondamentaux que la déclaration d'impôts.

Les cybercriminels tirent parti des marchés clandestins qui vendent des données personnelles volées, des identifiants professionnels compromis et des outils conçus pour faciliter la fraude. Cela permet aux criminels de remplir plus facilement de fausses déclarations fiscales, rapidement et à grande échelle.

Pour les contribuables, la meilleure défense consiste à limiter la quantité de données personnelles accessibles aux criminels, à remplir sa déclaration d'impôts rapidement et à rester vigilant face à tout signe indiquant que quelqu'un pourrait tenter d'usurper votre identité.

La fraude fiscale repose souvent sur le fait que les malfaiteurs parviennent d'abord à accéder à vos informations personnelles. Moins ils disposent de données, plus il leur est difficile de se faire passer pour vous. Voici quelques mesures qui peuvent vous aider à réduire ce risque :

  • Déclarez vos impôts dès que possible. En soumettant votre déclaration d'impôts en bonne et due forme dès que possible, vous compliquez considérablement la tâche des fraudeurs qui tenteraient d'en déposer une à votre nom avant vous.
  • Protégez votre numéro de sécurité sociale. Évitez de communiquer votre numéro de sécurité sociale, sauf en cas d'absolue nécessité.
  • Méfiez-vous des e-mails et des SMS de hameçonnage. Les escrocs se font souvent passer pour l'IRS, des banques ou des services fiscaux afin d'amener les gens à divulguer leurs données personnelles.
  • Utilisez des mots de passe forts et uniques. Si des malfaiteurs parviennent à accéder à votre messagerie électronique ou à vos comptes bancaires, ils pourraient recueillir les informations nécessaires pour usurper votre identité.
  • Surveillez vos comptes et vos rapports de solvabilité. Des avis fiscaux inattendus, des déclarations rejetées ou des opérations financières inhabituelles peuvent tous être des signes avant-coureurs d'une usurpation d'identité.
  • Pensez à demander un code Identity (IP PIN) auprès de l'IRS. L'IP PIN ajoute une étape de vérification supplémentaire lors du dépôt de votre déclaration d'impôts, ce qui contribue à empêcher des malfaiteurs de déposer une déclaration en votre nom.

Remarque : ces captures d'écran du dark web ont été traduites approximativement du russe. 

Que savent les cybercriminels à votre sujet ?

Utilisez l'analyse gratuite Digital Footprint Malwarebytes pour vérifier si vos informations personnelles ont été exposées en ligne.

À propos de l'auteur

Malwarebytes Labs

Malwarebytes Labs

DERNIERS ARTICLES

Mobile
DarkSword iOS

Une menace plane sur les iPhone non mis à jour

Mars 19, 2026

Des chercheurs ont mis au jour plusieurs attaques menées à l'échelle nationale utilisant DarkSword, une chaîne de vulnérabilités, pour infecter des iPhone non mis à jour.

Confidentialité
Escroqueries fiscales sur le dark web

Vos déclarations fiscales se vendent 20 dollars sur le dark web

Mars 19, 2026

La période des déclarations fiscales est également la haute saison pour l'usurpation d'identité. Malwarebytes ont repéré des criminels qui échangeaient des dossiers fiscaux volés sur des forums du dark web.

AI
Caché

Des chercheurs ont découvert une astuce de rendu des polices permettant de dissimuler des commandes malveillantes

Mars 18, 2026

Des chercheurs ont découvert un moyen de tromper les assistants IA afin qu'ils ignorent les consignes de sécurité sur un site web.

Icône des contributeurs

Les contributeurs

Icône du centre des menaces

Centre des menaces

Icône Podcasts

Podcast

Icône de glossaire

Glossaire

Icône d'escroquerie

Escroqueries