Archives

FranceConnect au cœur d’une campagne d’hameçonnage

L’usurpation d’identité passe aussi par FranceConnect. Face à l’augmentation des arnaques, les Impôts et Ameli ont décidé de suspendre, totalement ou partiellement, l’usage du connecteur. Si un correctif est dans les tuyaux, l’incident montre l’urgence à mettre en place FranceConnect+.

Sur le site de l’Assurance maladie il n’est plus possible d’utiliser FranceConnect pour accéder à ses prestations sociales, l’usager devant saisir ses identifiants Ameli. De son côté, le portail impôts.gouv.fr empêche l’usage du connecteur Ameli pour consulter son compte fiscal. Ameli est l’une des six identités pivot utilisables pour éviter d’avoir à mémoriser des dizaines d’identifiants et mots de passe de téléservices. Laconiquement, les Impôts évoquent une "maintenance technique" quand l’Assurance maladie et FranceConnect alertent sur une recrudescence des tentatives d’hameçonnage sans mentionner le connecteur Ameli. Celui-ci est du reste toujours fonctionnel sur les autres sites publics.

Campagne d’hameçonnage

De fait, c'est bien une campagne massive d’hameçonnage qui est derrière cette affaire à l’origine de nombreux articles dans la presse. Sur son site, l’Assurance maladie fait ainsi état le 31 août 2022 de "communications par SMS, appels téléphoniques ou courriels qui usurpent le nom et le logo de l’Assurance maladie afin de récupérer des données personnelles ou de faire appeler des numéros surtaxés". Des messages dans lesquels les fraudeurs invitent les usagers à "vérifier leur compte Ameli, FranceConnect ou leur compte personnel de formation". Pour les délinquants, l’objectif de ces manœuvres est de récupérer des identifiants de connexion pour accéder sur des sites tiers aux informations bancaires de l’usager et/ou se faire verser indûment des aides publiques. Si les tentatives de phishing ne sont pas nouvelles, l’extorsion d’identifiants FranceConnect décuple la menace. Car FranceConnect est utilisé par plus de 39 millions de Français pour accéder à quelque 1.400 téléservices d’organismes sociaux, d’administrations ou de collectivités territoriales. Si dans de nombreux cas ils ne permettent "que" la réalisation de formalités, la confirmation de son identité ou le suivi de dossier, certains autorisent des transactions financières. Ces derniers sont aujourd’hui la cible des délinquants, la Direction du numérique (Dinum) évoquant dans la presse "plus d’une centaine d’arnaques mensuelles".

Sécurisation en attendant FranceConnect+

Or, parmi les six connecteurs autorisant l’authentification FranceConnect, Ameli serait le moins sécurisé, ce qui explique qu’il soit la cible des pirates. A court terme, "une mise à jour de sécurité" a été annoncée pour le connecteur Ameli, mise à jour d’autant plus urgente qu’il représenterait près de la moitie des usages de FranceConnect en 2019 selon un rapport consulté par Acteurs publics. Mais la Dinum déclare aussi plancher sur "des services d'identification plus sécurisés", pour "les démarches les plus sensibles, et notamment celles permettant d'accéder à des versements financiers". Concrètement, il s’agit du projet FranceConnect+ annoncé il y a plus d’un an pour mettre en conformité la France avec le règlement européen sur l’identité numérique eIDAS. L’identité numérique de La Poste remplit les conditions d’une authentification de niveau "substantiel" au sens du règlement qui en distingue trois (faible, substantiel, élevé).

Application carte Vitale et France Identité

Pour les connecteurs gratuits, portés par l’Etat, il faudra encore attendre. Il s'agit tout d’abord de la carte Vitale dématérialisée, l'application Carte Vitale (apCV), portée par l’Assurance maladie. Testée dans 8 départements, son déploiement national est annoncé pour 2023. L'apCV offrira les mêmes services que la carte Vitale physique tout en sécurisant l’accès aux services de santé en ligne. Son périmètre d’usage sera cependant restreint et elle ne proposera qu’une authentification de niveau "substantiel". L’identité numérique sécurisée régalienne de niveau "élevé" - permettant l’inscription en ligne sur les listes électorale ou encore le dépôt d’un permis de construire…- passera pour sa part par l’application France Identité. Initié par le ministère de l’Intérieur en remplacement d'Alicem, le projet n’en est cependant qu’aux phases de test. A noter, qu'il n’est plus question de reconnaissance faciale, l’enrôlement initial passant par un courrier initial et la lecture de la puce de la CNIe (la nouvelle carte d'identité). Et si le cadre juridique est en place, l’aval de la Cnil acquis (notre article du 2 mai 2022), le principal frein à sa généralisation est son assise sur la CNIe lancée voici à peine un an.

Autant dire qu’avant que toutes ces solutions d’identité numérique sécurisées soient largement déployées, les arnaques par hameçonnage ont matière à prospérer.