Une faille de sécurité critique aurait été découverte sur impots.gouv.fr. Le groupe de hackers LunarisSec affirme avoir détecté une vulnérabilité de type injection SQL sur la page d’accueil du portail fiscal français.
- Une possible faille critique de type injection SQL a été signalée sur impots.gouv.fr par le groupe LunarisSec.
- Le groupe affirme avoir alerté l’ANSSI sans exploiter la vulnérabilité, qui pourrait permettre d’accéder à des données fiscales sensibles.
- Cette alerte n’est pas confirmée officiellement et intervient dans un contexte de cyberattaques répétées contre l’administration française.
Il faut dire que LunarisSec a suivi le protocole de divulgation responsable. Le groupe algérien a notifié l’ANSSI avant toute publication publique, sans tenter d’extraire des données. On parle de, possiblement, 68 millions de contribuables exposées à cette faille. Si elle existe.
Est-ce que impots.gouv.fr est touché par une faille critique ?
L’outil sqlmap a détecté la faille. En gros, il s’agit d’une vulnérabilité qui permet d’interroger une base de données depuis l’extérieur. L’analyse révèle un backend Microsoft Access. On parle d’un logiciel de base de données des années 1990. « Quand on gère les impôts de 68 millions de Français, quoi de mieux qu’une base de données de bureau des années 90 ? », a ironisé KuptoKosmos sur X, spécialisé dans la veille cybersécurité.
🚨🇫🇷 Monsieur @SebLecornu…
— Kruptos (@KuptoKosmos) May 4, 2026
Une faille de sécurité inacceptable a été signalée sur impots.gouv .fr concernant nos données personnelles et fiscales
En France, en mai, on profite parfois de longs week-ends, mais cela n’empêche pas de corriger immédiatement cette menace critique… https://t.co/8i4mHpuLT3 pic.twitter.com/bXhFI2V3QT
L’ANSSI a répondu qu’elle « ne s’exprime pas sur de potentielles attaques en cours ou passées ». Si cette faille est vraie, un pirate pourrait en extraire des données fiscales sensibles et monter des campagnes de phishing ciblées.
Une possible faille qui tombe au pire moment
L’incident survient en pleine campagne de déclaration de revenus 2026. Et pour cause. Le portail concentre en ce moment un pic de connexions et des données fraîches pour des dizaines de millions de contribuables.
Sauf que voilà, cette alerte s’inscrit dans une série noire pour l’administration numérique française. En avril 2026, les pirates ont revendiqué 19 millions de données volées à l’ANTS. C’est le ministère de l’Intérieur qui a confirmé 11,7 millions de comptes compromis dans cette attaque.
En mars 2026, les données de 243 000 enseignants ont été exposées. Il s’agissait du même mécanisme. Un compte externe compromis a suffi pour accéder au système informatique de l’Éducation nationale sans forcer la moindre barrière technique.
La DGFiP n’a pas confirmée l’existence de la faille
En février 2026, le fichier FICOBA a été compromis. Un pirate a usurpé les accès d’un fonctionnaire pour consulter les coordonnées bancaires de contribuables. Cette fuite a exposé 1,2 million d’IBAN et de données personnelles gérés par la DGFiP, la même direction qui dirige impots.gouv.fr. En décembre 2025, une intrusion prolongée a ciblé les serveurs de messagerie du ministère de l’Intérieur.
La DGFiP rappelle dans ses communications que « l’administration fiscale ne vous demande jamais vos identifiants ou votre numéro de carte bancaire par message ». Mais rappelons que cette possible faille de impots.gouv.fr n’a pas été confirmée.
Réagissez à cet article !