Condamné à huit ans, un pirate informatique est accusé d’avoir industrialisé le vol d’identités fiscales via des intrusions et du phishing, en visant des cabinets de déclaration d’impôts pour siphonner l’argent des contribuables.
Le ministère américain de la Justice annonce la condamnation à huit ans de prison de Matthew Abiodun Akande, Nigérian de 37 ans, pour une campagne de cybercriminalité étalée sur cinq ans, achevée en juin 2021. Depuis le Mexique, avec au moins trois complices, il aurait compromis des réseaux de sociétés de préparation fiscale, dérobé des données clients, puis déposé plus de 1 000 déclarations frauduleuses afin d’obtenir 8,1 millions $ (8 millions d’euros) en remboursements fictifs.
Une fraude fiscale pilotée comme une opération cyber
La peine tombe comme le dernier acte d’un scénario où l’impôt devient un terrain d’intrusion. D’après les documents judiciaires cités par le ministère de la Justice, Matthew Abiodun Akande, 37 ans, a coordonné depuis le Mexique une mécanique reposant moins sur l’improvisation que sur la répétition. L’objectif n’était pas de vider un compte isolé, mais d’exploiter un flux, celui des déclarations de revenus, en capturant la donnée au bon endroit, au moment où elle circule.
Les procureurs décrivent une méthode en deux temps. D’abord, pénétrer les réseaux de sociétés spécialisées dans la préparation de déclarations fiscales. Ensuite, extraire des informations sensibles sur leurs clients, puis s’en servir pour déposer des formulaires frauduleux réclamant des remboursements d’impôts au nom de victimes réelles. Dans cette architecture, la victime directe n’est pas seulement le contribuable dont l’identité est détournée, c’est aussi l’État, visé par un détournement de fonds publics à grande échelle.
Le volume revendiqué donne une mesure de l’industrialisation. Plus de 1 000 déclarations auraient été soumises sur une période de cinq ans s’achevant en juin 2021. Le montant total des remboursements demandés atteint plus de 8,1 millions $ (8,1 millions d’euros). Mais les autorités distinguent l’ambition et le résultat, en affirmant qu’au total plus de 1,3 million $ de remboursements indus ont réellement été perçus. Cette différence raconte aussi les frictions habituelles des fraudes fiscales, contrôles, rejets, comptes bloqués, mais sans rien enlever au caractère méthodique de l’entreprise.
Dans le réquisitoire, la liste des infractions dessinée par l’acte d’accusation ressemble à un inventaire des risques cyber appliqués à la chaîne fiscale : complot pour accéder sans autorisation à des ordinateurs protégés, fraude électronique, accès non autorisé, vol de fonds publics et usurpation d’identité aggravée. L’affaire illustre un point rarement visible du grand public, la fiscalité repose sur des intermédiaires numériques, et ces intermédiaires deviennent des cibles de choix parce qu’ils concentrent des identifiants, des adresses, des numéros, des historiques, bref, tout ce qui permet d’usurper vite et à distance.
News & Réseaux Sociaux ZATAZ
Chaque vendredi midi, recevez gratuitement les actualités de la semaine.
Phishing, Warzone RAT et transferts, la logistique du renseignement criminel
Le dossier prend une dimension plus concrète quand les autorités détaillent l’outillage et la logistique. Akande aurait affiné son dispositif en visant cinq entreprises de préparation fiscale dans le Massachusetts. Le levier choisi est classique mais redoutable, le courriel d’hameçonnage, conçu pour pousser un employé à exécuter un téléchargement piégé. L’objectif, selon les éléments de procédure, était l’installation de chevaux de Troie d’accès à distance, dont Warzone RAT, afin d’obtenir une prise sur les postes et, par ricochet, sur les systèmes internes.
Quatre de ces entreprises figureraient parmi les victimes citées dans l’acte d’accusation. Ce détail compte, car il relie la fraude fiscale à une dynamique de compromission typique du cybercrime : pas besoin d’un exploit spectaculaire si l’on obtient une ouverture durable par l’humain, puis un accès persistant par un outil de contrôle à distance. Dans une logique de renseignement criminel, le RAT n’est pas seulement un moyen d’entrer, c’est une façon d’observer, de se déplacer, de récolter progressivement, et de répéter l’opération sans alerter.
L’autre versant, tout aussi important, concerne l’encaissement. Les remboursements frauduleux auraient été orientés vers des comptes bancaires américains. Les complices situés aux États-Unis auraient retiré une partie en espèces, puis transféré une autre part, sur instruction d’Akande, vers des tiers au Mexique. Les autorités citent un complice présumé, Kehinde Hussein Oyetunji, Nigérian résidant dans le Dakota du Nord, ainsi que deux autres personnes dont l’identité n’est pas divulguée. La chaîne financière est présentée comme un prolongement naturel de l’attaque, car une fraude n’existe vraiment que lorsqu’elle se convertit en liquidités, puis en transferts, sans se laisser immobiliser.
La chronologie judiciaire ajoute une tension géographique. Akande est détenu depuis son arrestation à l’aéroport d’Heathrow, au Royaume-Uni, en octobre 2024, puis son extradition vers les États-Unis en mars 2025. Un mois plus tard, il a plaidé coupable aux 33 chefs d’accusation de l’acte déposé par les procureurs en juillet 2022. Son avocat a soutenu, dans un mémoire de condamnation, qu’il ne menait pas une vie luxueuse au Mexique, mais la décision s’accompagne d’un dédommagement proche de 1,4 million $, rappelant que l’enrichissement affiché n’est pas l’unique critère quand l’attaque vise la confiance et l’argent public.
Au-delà de la peine, l’affaire montre comment une campagne mêlant phishing, accès distant et finance transfrontalière transforme des données fiscales en avantage opérationnel, exactement le type de signal que la cyber-intelligence traque avant qu’il ne devienne systémique.
