Le bouton de connexion avec Ameli désactivé après des problèmes de sécurité

Depuis cet été, il n’est plus possible de se connecter aux sites des services administratifs via FranceConnect en utilisant ses identifiants Ameli, et ce « jusqu’à nouvel ordre », explique une brève annonce sur le site Impots.gouv.fr. Les internautes peuvent en effet constater sur le portail FranceConnect que le bouton d’identification via l’Assurance-maladie a été désactivé.

L’interface de FranceConnect permet d’accéder à 1 400 services numériques différents, et est utilisée par quelque 39 millions de personnes. Elle permet en effet de réutiliser les codes d’un compte existant (Ameli, compte Impots.gouv.fr ou identité numérique de La Poste, par exemple) pour se connecter sans devoir recréer de mot de passe. La possibilité d’utiliser leurs identifiants Ameli pour se connecter à d’autres comptes ayant été désactivée, les internautes doivent en attendant recourir à d’autres identifiants.

Intensification des fraudes par hameçonnage

Si l’annonce du service public fait mention d’une suspension en raison d’ « une maintenance technique sur FranceConnect », Le Canard enchaîné, dans son édition du mercredi 31 août, évoque plutôt une décision prise par la Caisse nationale de l’Assurance-maladie (CNAM) pour des problèmes de sécurité, face à une recrudescence du piratage des comptes de ses assurés.

Contactée par Le Monde, la direction interministérielle du numérique (Dinum), qui supervise le système FranceConnect, reconnaît que « certaines démarches administratives en ligne permettent d’accéder à des aides financières de l’Etat ou à des versements bancaires et suscitent l’intérêt de délinquants » et constate elle aussi une « intensification » de ces fraudes pendant l’été. Selon Le Canard enchaîné, des fraudeurs seraient par exemple parvenus à « encaisser à leur profit une somme trop perçue par les impôts ».

La méthode préférée des pirates fraudeurs pour y parvenir : l’hameçonnage (phishing), qui consiste à piéger les usagers par e-mail, SMS ou téléphone pour obtenir leurs identifiants et ensuite s’en servir pour accéder aux différents sites. « FranceConnect en tant que plate-forme permettant uniquement la réutilisation de ces identités n’est donc pas victime d’une faille », insiste la Dinum.

Un nouveau système déployé en septembre

Outre le travail de sensibilisation et d’information déjà en vigueur, la Dinum assure avoir travaillé à « la mise en place de mesures de sécurisation renforcées ». Par ailleurs, le service interministériel ajoute déployer à compter de ce mois de septembre FranceConnect +, un processus d’identification plus contraignant reposant sur une application générant un code secret, qui visera à protéger les démarches administratives les plus sensibles ou impliquant des transactions financières. Les services concernés basculeront progressivement vers ce nouveau protocole, en commençant par La Poste.

Les services administratifs rappellent également que « ni FranceConnect, ni Ameli, ni la direction générale des finances publiques, ni Mon compte formation ne contactent les citoyens pour leur demander de communiquer des identifiants ou des mots de passe, et qu’il convient donc de ne jamais répondre à ces sollicitations ».

Le Monde