France Connect, le service de la DINUM pour s'identifier à un service public tiers via des identifiants utilisés sur un autre service public (Impôts, Ameli, La Poste...) est dans l'oeil du cyclone. Dans un article du Canard Enchaîné ce mercredi 31 août, le manque de sécurité de ce service est pointé du doigt par la Caisse Nationale de l'Assurance Maladie. « L'accès au service sur le portail Ameli ne sera pas rétabli tant que la sécurité du service ne sera pas renforcée via des mesures comme la dissimulation de l'adresse mail des utilisateurs et l'envoi d'un courriel de confirmation à chaque connexion au service », a indiqué la direction générale de la CNAM dans un courrier adressé à la DINUM en charge de France Connect.

« Des opérations techniques sont en cours depuis le 12 août pour sécuriser davantage la connexion au compte ameli avec le service France Connect. Dans cette attente, la connexion par la biais de France Connect est provisoirement suspendue. Le compte ameli reste naturellement accessible avec son numéro de sécurité sociale et son mot de passe », nous a expliqué une porte-parole de l'Assurance Maladie. Contactée par la rédaction pour des informations sur le sujet, la DINUM n'a pour l'heure pas répondu à nos questions. « Nous avons effectivement constaté au cours des derniers mois une recrudescence des signalements passant par FranceConnect [...] dès cet été des mesures de sécurisation ont été mises en oeuvre par les acteurs de l'écosystème FranceConnect, avec une recherche constante d'équilibre entre sécurité et accessibilité aux différents services publics », a répondu dans des propos pour le moins sibyllins la DINUM à notre confrère du Canard Enchaîné. 

Bercy à la manoeuvre depuis août 

La direction générale des finances publiques serait en fait à la manoeuvre depuis le 4 août, selon nos confrères de RTL pour pousser la déconnexion d'Ameli de France Connect afin d'empêcher toute connexion via ce biais. Un choix décidé au vu de la recrudescence des vols de données d'identifiants Ameli via des campagnes massives de SMS et de phishing ayant pour but de pénétrer dans les comptes en ligne des utilisateurs pour changer leurs RIB et encaisser les virements qui leurs sont destinés. Sur son site, France Connect prévient par ailleurs ses utilisateurs : « une campagne de phising est actuellement en cours sous la forme d'e-mails imitant les notifications envoyées par FranceConnect après chaque connexion. Ces e-mails malhonnêtes tentent de récupérer vos identifiants ». Selon des statistiques dénichées par Acteurs Publics, Ameli représente 49% des connexions via France Connect contre 46% pour celui des Impôts.

Un effet boule de neige sur le site des Impôts ayant eu lieu, Bercy a donc tapé du poing sur la table. « Suite à une maintenance technique sur FranceConnect, l'accès par l'identité numérique Ameli est suspendu jusqu'à nouvel ordre. L'accès à votre espace particulier est donc actuellement impossible si vous utilisez habituellement vos identifiants Ameli. Dans l'attente du rétablissement de cet accès sur FranceConnect, nous vous invitons à vous rendre de préférence directement dans votre espace particulier pour vous connecter avec votre compte impots.gouv.fr », indique de son côté un communiqué publié sur le site des Impôts depuis le 11 août. 

MAJ du 01/09/2022. Suite à notre demande de précision, la DINUM n'a pas répondu à nos questions mais nous a envoyé une déclaration dont nous publions l'extrait suivant : « Parmi les démarches administratives en ligne, certaines permettent d’accéder à des aides financières de l’Etat ou à des versements bancaires et suscitent l’intérêt de délinquants. En pratique, des individus mal intentionnés contactent des usagers pour leur extorquer leurs identifiants et mots de passe Ameli ou impots.gouv.fr et ensuite s’en servir pour accéder à des financements comme ceux de Mon Compte Formation. FranceConnect en tant que plateforme permettant uniquement la réutilisation de ces identités n’est donc pas victime d’une faille. Au cours de l’été, une intensification de ces fraudes a été constatée avec quelques centaines de signalements par mois qui sont toutefois à mettre en regard des dizaines de millions de connexion au moyen des identités disponibles sur FranceConnect [...] Cependant, les fraudes actuellement constatées incitent à aller plus loin. FranceConnect prévoit d’ores et déjà des niveaux de sécurité renforcés, au travers de FranceConnect +, mis à la disposition des opérateurs de services publics. C’est dans ce cadre qu’une bascule progressive des démarches les plus sensibles et notamment celles permettant d’accéder à des versements financiers vers ces services d’identification plus sécurisés dont l’identité numérique La Poste est planifiée, avec une première bascule en septembre. Plus contraignantes mais similaires aux outils désormais bien connus de nos concitoyens pour accéder à leurs comptes bancaires, ces solutions techniques permettront de garantir l’équilibre entre accessibilité des services publics et sécurisation des démarches sensibles ».