Retraitée découvre un faux mail DGFiP sur son écran d'ordinateur
Un timing calculé au jour près
Vous venez de terminer votre déclaration de revenus 2025 et le mail tombe à point nommé. « Situation fiscale révisée », « remboursement en attente de 219 euros au titre de l'exercice 2025 », un bouton pour cliquer dans les 48 heures.
La gendarmerie du Rhône a lancé l'alerte le 11 juin 2026 : cette vague de faux courriers touche des contribuables sur tout le territoire, en pleine période post-déclaration.
La gendarmerie du Rhône a lancé l'alerte le 11 juin 2026 : cette vague de faux courriers touche des contribuables sur tout le territoire, en pleine période post-déclaration.
Trois indices visibles en dix secondes
L'adresse de l'expéditeur est le premier signal. Sur ce mail, elle indique [email protected], un domaine qui n'a aucun lien avec l'administration fiscale.
Les vrais courriers de la DGFiP proviennent exclusivement de domaines en @dgfip.finances.gouv.fr. Toute autre adresse est un faux, sans exception.
Le deuxième indice est le lien lui-même. Passez votre doigt dessus sans cliquer, ou survolez-le à la souris : l'adresse qui apparaît ne pointe pas vers impots.gouv.fr.
Si l'URL commence par autre chose que https://www.impots.gouv.fr, c'est un faux site conçu pour aspirer vos coordonnées bancaires.
Le troisième indice est le plus simple. La DGFiP ne vous demande jamais de cliquer pour obtenir un remboursement, et ne fixe jamais de délai de 48 heures pour une opération financière.
Si vous avez payé trop d'impôts, la somme apparaît automatiquement sur votre compte bancaire, sans action de votre part. Le seul canal officiel pour vérifier un remboursement reste votre espace personnel sur impots.gouv.fr.
Les vrais courriers de la DGFiP proviennent exclusivement de domaines en @dgfip.finances.gouv.fr. Toute autre adresse est un faux, sans exception.
Le deuxième indice est le lien lui-même. Passez votre doigt dessus sans cliquer, ou survolez-le à la souris : l'adresse qui apparaît ne pointe pas vers impots.gouv.fr.
Si l'URL commence par autre chose que https://www.impots.gouv.fr, c'est un faux site conçu pour aspirer vos coordonnées bancaires.
Le troisième indice est le plus simple. La DGFiP ne vous demande jamais de cliquer pour obtenir un remboursement, et ne fixe jamais de délai de 48 heures pour une opération financière.
Si vous avez payé trop d'impôts, la somme apparaît automatiquement sur votre compte bancaire, sans action de votre part. Le seul canal officiel pour vérifier un remboursement reste votre espace personnel sur impots.gouv.fr.
1,2 million d'IBAN dans la nature depuis février
Nous en avons tous entendu parler en février 2026. Un fonctionnaire de la DGFiP a été piégé par une attaque de phishing, et les données de 1,2 million de comptes se sont retrouvées entre les mains d'un pirate : IBAN, identité, adresse, identifiant fiscal.
La DGFiP a déposé plainte, les contribuables concernés ont été prévenus par courrier. L'affaire semblait close. Elle ne l'est pas.
Ces données circulent encore, et elles servent précisément à fabriquer des mails de phishing sur mesure. Un escroc qui dispose de votre nom, de votre identifiant fiscal et de votre IBAN peut vous envoyer un message qui contient des éléments que seule l'administration est censée connaître.
Le rapport d'activité 2025 de Cybermalveillance.gouv.fr le confirme : le nombre de messages de phishing incluant des données personnelles réelles du destinataire a bondi depuis les grandes fuites de données de 2024 et 2025. Le résultat est mesurable : 108 000 demandes d'assistance pour du phishing en 2025, soit une hausse de 70 % en un an.
Ce que je veux que vous compreniez, c'est que le mail à 219 euros que vous avez reçu n'est peut-être pas un spam générique envoyé à dix millions d'adresses. Il peut contenir vos données réelles, et c'est ce qui le rend dangereux.
La DGFiP a déposé plainte, les contribuables concernés ont été prévenus par courrier. L'affaire semblait close. Elle ne l'est pas.
Ces données circulent encore, et elles servent précisément à fabriquer des mails de phishing sur mesure. Un escroc qui dispose de votre nom, de votre identifiant fiscal et de votre IBAN peut vous envoyer un message qui contient des éléments que seule l'administration est censée connaître.
Sur le même sujet :
Fonctionnaire de la DGFiP piégé, 1,2 million d'IBAN piraté : êtes-vous concerné ?
Fonctionnaire de la DGFiP piégé, 1,2 million d'IBAN piraté : êtes-vous concerné ?
Le rapport d'activité 2025 de Cybermalveillance.gouv.fr le confirme : le nombre de messages de phishing incluant des données personnelles réelles du destinataire a bondi depuis les grandes fuites de données de 2024 et 2025. Le résultat est mesurable : 108 000 demandes d'assistance pour du phishing en 2025, soit une hausse de 70 % en un an.
Ce que je veux que vous compreniez, c'est que le mail à 219 euros que vous avez reçu n'est peut-être pas un spam générique envoyé à dix millions d'adresses. Il peut contenir vos données réelles, et c'est ce qui le rend dangereux.
Votre banque ne vous remboursera pas
En janvier 2025, la Cour de cassation a rendu un arrêt qui a changé la donne pour tous les contribuables victimes de phishing. L'affaire concernait deux sociétés piégées par un mail frauduleux : elles avaient cliqué sur un lien, un cheval de Troie avait infecté leur système, et six virements non autorisés avaient été exécutés vers l'étranger.
La cour d'appel avait condamné la banque à rembourser la moitié des pertes. La Cour de cassation a cassé cette décision.
Le raisonnement est direct : l'article L133-19 du code monétaire et financier prévoit que la banque n'est pas tenue de rembourser si le client a commis une « négligence grave ». Or cliquer sur un lien de phishing, pour la plus haute juridiction française, constitue cette négligence.
Traduit dans la situation qui nous occupe : si vous cliquez sur le lien du faux mail à 219 euros, que vous saisissez vos coordonnées bancaires sur le faux site, et que de l'argent disparaît de votre compte, votre banque peut légalement refuser de vous rembourser. Et elle le fera.
La fraude au faux conseiller bancaire, qui fonctionne sur le même principe, a bondi de 159 % en 2025 selon Cybermalveillance.gouv.fr, pour atteindre 15 000 demandes d'assistance chez les seuls particuliers.
La cour d'appel avait condamné la banque à rembourser la moitié des pertes. La Cour de cassation a cassé cette décision.
Le raisonnement est direct : l'article L133-19 du code monétaire et financier prévoit que la banque n'est pas tenue de rembourser si le client a commis une « négligence grave ». Or cliquer sur un lien de phishing, pour la plus haute juridiction française, constitue cette négligence.
Sur le même sujet :
Pourquoi votre banque peut refuser de vous rembourser même si vous êtes victime d'arnaque
Pourquoi votre banque peut refuser de vous rembourser même si vous êtes victime d'arnaque
Traduit dans la situation qui nous occupe : si vous cliquez sur le lien du faux mail à 219 euros, que vous saisissez vos coordonnées bancaires sur le faux site, et que de l'argent disparaît de votre compte, votre banque peut légalement refuser de vous rembourser. Et elle le fera.
La fraude au faux conseiller bancaire, qui fonctionne sur le même principe, a bondi de 159 % en 2025 selon Cybermalveillance.gouv.fr, pour atteindre 15 000 demandes d'assistance chez les seuls particuliers.
Le seul geste qui protège vraiment votre argent
Connectez-vous directement sur impots.gouv.fr en tapant l'adresse dans votre navigateur, jamais en cliquant sur un lien reçu par mail. Si un remboursement vous est dû, il apparaît dans votre espace personnel, rubrique « Mes paiements ».
Si vous avez reçu ce faux mail, transférez-le sans l'ouvrir à [email protected], puis signalez-le sur la plateforme Pharos (internet-signalement.gouv.fr). Le signalement prend moins d'une minute et alimente directement les enquêtes.
Si vous avez déjà cliqué et saisi des informations, la course est engagée : appelez votre banque dans l'heure pour faire opposition, changez immédiatement le mot de passe de votre espace impots.gouv.fr, et déposez une plainte en ligne sur la plateforme THESEE du ministère de l'Intérieur, conçue pour les escroqueries sur Internet. Plus vous réagissez vite, plus la trace de l'argent est exploitable par les enquêteurs.
Si vous avez reçu ce faux mail, transférez-le sans l'ouvrir à [email protected], puis signalez-le sur la plateforme Pharos (internet-signalement.gouv.fr). Le signalement prend moins d'une minute et alimente directement les enquêtes.
Si vous avez déjà cliqué et saisi des informations, la course est engagée : appelez votre banque dans l'heure pour faire opposition, changez immédiatement le mot de passe de votre espace impots.gouv.fr, et déposez une plainte en ligne sur la plateforme THESEE du ministère de l'Intérieur, conçue pour les escroqueries sur Internet. Plus vous réagissez vite, plus la trace de l'argent est exploitable par les enquêteurs.
