Safecode

email remboursement impôts arnaque

Email « NOTIFICATION D’IMPOTS – REMBOURSEMENT » impôt 195 € : arnaque ou réel ?

/

Thibault Feugère

Vous avez reçu un email intitulé « NOTIFICATION D’IMPOTS – REMBOURSEMENT » vous annonçant que vous êtes éligible à un remboursement d’impôt de 195 €, avec le logo de la République française et un lien pour « les démarches à suivre » ? C’est une arnaque. Ni l’administration fiscale ni le service des amendes ne fonctionnent ainsi. Voici comment la reconnaître et quoi faire.

Est-ce que cet email de remboursement d’impôt est une arnaque ?

Oui. Cet email n’émane ni de la Direction générale des Finances publiques, ni du service des amendes. L’expéditeur est noreply@servroutierre.site, un domaine sans aucun lien avec une administration française. Le bouton « Les démarches à suivre » mène vers une page hébergée sur Google Sites, puis vers un faux site de remboursement conçu pour voler vos données personnelles et bancaires.

La règle de base : l’administration fiscale communique uniquement via votre espace personnel sur impots.gouv.fr, et ses emails proviennent de domaines en @dgfip.finances.gouv.fr. Le service des amendes utilise amendes.gouv.fr. Aucun email officiel ne provient d’un domaine comme servroutierre.site.

L’incohérence qui trahit immédiatement l’arnaque

Le signal le plus révélateur de cette campagne est une incohérence administrative grossière : l’email mélange les impôts et les amendes, qui sont deux administrations totalement distinctes.

Les impôts relèvent de la Direction générale des Finances publiques, via impots.gouv.fr. Les amendes relèvent de l’ANTAI (Agence nationale de traitement automatisé des infractions), via amendes.gouv.fr, qui est un service de paiement d’amendes, pas de remboursement.

incohérence amendes et impôts

Or cet email cumule les deux univers sans cohérence : l’expéditeur se nomme « Amendes.Gouv », l’objet parle de « Notification d’impôts – remboursement », le corps est signé « Direction générale des Finances Publiques », mais la page finale affiche « service de paiement en ligne des amendes » et conclut par « vous vous êtes acquittée de votre amende de stationnement ». Un remboursement d’impôt qui transite par le service de paiement des amendes n’existe pas.

Les escrocs ont visiblement recyclé un kit de phishing conçu pour les amendes en y greffant un prétexte de remboursement d’impôt, plus attractif puisqu’il promet de recevoir de l’argent. Quand l’expéditeur, l’objet, le contenu et la page de destination évoquent des choses différentes, c’est une arnaque.

Comment fonctionne cette arnaque étape par étape ?

Cette campagne déploie une chaîne d’attaque particulièrement élaborée, utilisant plusieurs services légitimes comme relais pour contourner les protections.

Étape 1 : l’email. Le message reprend le logo officiel amendes.gouv.fr (chargé directement depuis le vrai site) et le bloc « République française ». Il promet 195 € de remboursement sous 10 jours ouvrables, avec un délai pour créer un sentiment d’urgence positive.

Étape 2 : Google Sites. Le lien mène d’abord vers une page sites.google.com, le service de création de sites gratuits de Google. Les liens Google passent facilement les filtres antispam. La page affiche un faux logo « Amendes.gouv » généré par intelligence artificielle.

Étape 3 : le raccourcisseur d’URL. Un clic supplémentaire passe par un raccourcisseur de liens français légitime détourné, qui masque la destination réelle.

Étape 4 : la page de collecte. La victime arrive sur un faux site aux couleurs d’amendes.gouv.fr, hébergé sur un bucket de stockage Amazon S3. Le site collecte les informations par paliers : d’abord nom, prénom, date de naissance et téléphone, puis l’IBAN (avec une validation exigeant un format français commençant par FR), puis les données de carte bancaire.

Étape 5 : l’exfiltration via Telegram. Comme dans d’autres campagnes récentes, les données saisies sont envoyées en temps réel à un bot Telegram contrôlé par les escrocs. Chaque information renseignée part instantanément vers leur messagerie.

exfiltration via Telegram

Étape 6 : le faux code SMS et la page de succès. Un faux écran de validation par code SMS imite une vérification 3D Secure, puis une page de confirmation affiche « Votre remboursement sera effectué dans 72h » pour endormir la méfiance de la victime, qui ne réalise pas immédiatement qu’elle vient de livrer toutes ses données.

Détail révélateur : le faux site est même monétisé avec des publicités, ce qui signifie que les escrocs génèrent des revenus publicitaires sur le trafic des victimes en plus de voler leurs données.

Quels autres signaux confirment la fraude ?

Au-delà de l’incohérence impôts/amendes, plusieurs indices sont accessibles à tout destinataire.

L’email s’adresse à « Bonjour , » sans nom, signe d’un envoi de masse non personnalisé. Le texte contient des fautes (« dans les plus bref delai », « 10 jours ouvrable », « peu etre retardé »). L’adresse de l’expéditeur ne correspond à aucun domaine gouvernemental. Et surtout, aucune administration ne demande votre IBAN ou votre carte bancaire par email pour vous rembourser : le fisc rembourse automatiquement sur le compte qu’il a déjà en fichier, sans aucune démarche de votre part.

Comment vérifier si vous avez réellement un remboursement ?

Ne cliquez jamais sur le lien d’un email de remboursement. Connectez-vous directement sur impots.gouv.fr en tapant l’adresse manuellement dans votre navigateur, puis consultez votre espace personnel. Tout remboursement réel y figure, et il est versé automatiquement sur votre compte bancaire connu de l’administration, sans que vous ayez à saisir le moindre IBAN.

Si vous avez un doute, contactez votre centre des finances publiques via les coordonnées officielles disponibles sur impots.gouv.fr, jamais via un lien ou un numéro présent dans l’email.

Que faire si vous avez saisi vos informations ?

Si vous avez communiqué vos coordonnées bancaires ou de carte, agissez immédiatement : appelez votre banque pour faire opposition sur votre carte et signaler un risque de fraude. En France, tout prélèvement ou paiement frauduleux est contestable, à condition de le signaler rapidement.

Si vous avez communiqué des données personnelles (nom, date de naissance, téléphone), restez vigilant face à d’éventuelles tentatives d’usurpation d’identité ou à des appels de faux conseillers dans les semaines suivantes. Les escrocs utilisent souvent ces données pour une seconde arnaque par téléphone. Consultez notre guide sur que faire en cas de compromission et nos conseils pour protéger vos données personnelles.

Signalez l’email sur Signal Spam et l’arnaque sur Cybermalveillance.gouv.fr. Vous pouvez aussi signaler les emails frauduleux usurpant l’administration fiscale directement à la DGFiP.

Pourquoi les arnaques au remboursement sont-elles si efficaces ?

Contrairement aux arnaques qui menacent (compte bloqué, amende impayée), l’arnaque au remboursement joue sur une émotion positive : la perspective de recevoir de l’argent. Cette approche désarme la méfiance, car la victime se sent en position de bénéficiaire, pas de cible.

C’est la même logique d’usurpation d’une marque de confiance que dans les autres campagnes documentées sur safecode.fr, qu’il s’agisse du faux renouvellement Prime Video, des fausses alertes bancaires au nom de la Société Générale ou du CIC. La règle reste constante : une administration ou une banque ne vous demande jamais vos coordonnées bancaires par email, que ce soit pour vous débiter ou pour vous rembourser. Pour renforcer votre vigilance, consultez nos règles d’hygiène numérique.

Questions fréquentes email remboursement impôts arnaque

Comment savoir si un email de remboursement d’impôt est une arnaque ?

L’administration fiscale ne demande jamais vos coordonnées bancaires par email pour vous rembourser : le remboursement est versé automatiquement sur le compte qu’elle connaît déjà. Vérifiez l’expéditeur (les emails officiels viennent de domaines en gouv.fr) et connectez-vous directement sur impots.gouv.fr pour vérifier, sans cliquer sur les liens de l’email.

Les impôts et les amendes, est-ce le même service ?

Non. Les impôts relèvent de la Direction générale des Finances publiques via impots.gouv.fr. Les amendes relèvent de l’ANTAI via amendes.gouv.fr, qui sert à payer des contraventions, pas à rembourser. Un email qui mélange les deux, par exemple un remboursement d’impôt via le service des amendes, est un signal clair d’arnaque.

J’ai saisi ma carte bancaire sur le faux site de remboursement : que faire ?

Appelez votre banque immédiatement pour faire opposition sur votre carte et signaler la fraude. Vérifiez vos prochaines opérations et contestez tout débit non autorisé. Signalez l’incident sur Cybermalveillance.gouv.fr et déposez plainte. Surveillez aussi d’éventuels appels de faux conseillers dans les semaines suivantes.

Étiquettes :

, , , , , , ,

Thibault Feugère

Passionné par la sécurité informatique avec des expériences dans le secteur médical (logiciels de santé et dispositifs médicaux) ainsi que le secteur bancaire. J’occupe différents rôles : consultant en cybersécurité, formateur cyber, et rédacteur pour Safecode.fr, où je partage des connaissances et découvertes en matière de sécurité des systèmes d’information (SSI). Depuis 2020, j’écris des articles sur Safecode pour partager mes trouvailles ou conseils avec vous.

Commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *