Ces fraudes aux impôts ou au compte formation qui obligent FranceConnect à muscler sa sécurité

Ces fraudes aux impôts ou au compte formation qui obligent FranceConnect à muscler sa sécurité


Depuis le début du mois d’août, il n’est plus possible de se connecter au site des impôts en utilisant son compte de l’Assurance Maladie (Ameli). L’annonce mentionnant « une simple maintenance technique », partagée par ce service de Bercy, était passée inaperçue jusqu’à un article du Canard enchaîné mercredi 31 août.

Selon l’hebdomadaire satirique, des cybercriminels utilisaient en effet des identifiants de l’Assurance Maladie pour se connecter aux impôts via FranceConnect, ce service de réutilisation d’une identité. Cette usurpation de l’identité de contribuables leur permettait ensuite, en modifiant le relevé d’identité bancaire, d’encaisser à leur profit le trop perçu versé par leur victime à l’Etat.

Accès maintenu pour d’autres services publics

Si FranceConnect simplifie l’accès de ses 39 millions d’utilisateurs à 1 400 services numériques, cet exemple prouve qu’il est également une cible de choix pour les cybercriminels. Ce portail permet de se connecter à différents services en réutilisant ses identifiants des impôts, de l’Assurance Maladie, de son identité numérique, de la Mutualité sociale agricole ou de La Poste.

Il suffit alors de rentrer l’identifiant et le mot de passe concernés pour se connecter à un autre service public. Revers de la médaille, malgré des protections, comme le filtrage suivant la zone géographique, le piratage d’un des identifiants maîtres peut avoir des conséquences bien plus importantes que le service public initial auquel il était rattaché.

Si l’accès aux impôts par son compte Ameli n’est donc plus possible, les identifiants de l’Assurance Maladie peuvent toujours être utilisés pour se connecter à d’autres services publics via FranceConnect. Ce jeudi 1er septembre, par exemple, l’accès aux sites de l’Assurance retraite ou de l’Agence nationale des titres sécurisés (ANTS) n’était pas suspendu.

Augmentation des fraudes

Contactée, la direction interministérielle du numérique, qui opère FranceConnect, n’a pas donné de précisions sur le périmètre des suspensions. L’administration a simplement évoqué « la mise en place de mesures de sécurisation renforcées qui ne peuvent être détaillées pour éviter de donner les moyens aux arnaqueurs de les contourner ».

Mais sur le fond, la DINUM confirme un accroissement récent des cas de fraude, de quelques centaines de signalement par mois. Ce qui justifie un renforcement de la sécurité de l’accès à différents services publics, poursuit-elle sans les nommer. « En pratique, des individus mal intentionnés contactent des usagers pour leur extorquer leurs identifiants et mots de passe Ameli ou impots.gouv.fr et ensuite s’en servir pour accéder à des financements », précise l’administration.

Des fraudes au compte formation

Ce service du Premier ministre ne cite qu’un seul exemple concret, celui des fraudes au compte personnel de formation (CPF). Un service d’ailleurs toujours accessible par ses identifiants Ameli via FranceConnect. Un récent rapport du service de renseignement financier Tracfin évaluait la fraude au compte personnel de formation à 43,2 millions d’euros en 2021, contre 7,8 millions d’euros l’année précédente. Tracfin remarquait alors que la sécurité du dispositif avait été renforcée grâce à l’authentification via le portail FranceConnect, permettant de « circonscrire les risques d’usurpation d’identité ».

Mais selon une autre source dans l’administration française, les escrocs se seraient très rapidement adaptés à cette défense, en adoptant un nouveau mode opératoire pour contourner cette difficulté. « On ne comprenait pas trop pourquoi des cybercriminels cherchaient à faire main basse sur des identifiants de l’Assurance Maladie, signale cette source. Puis on a découvert que des victimes s’étaient fait dépouiller leurs comptes de formation à partir de leur accès Ameli. »

FranceConnect+

Si la direction interministérielle du numérique estime que FranceConnect n’est pas directement victime d’une faille, l’administration remarque que les fraudes actuelles « incitent à aller plus loin ». Son site mentionne par exemple une campagne d’hameçonnage imitant ses notifications envoyées par e-mail après chaque connexion.

Ce qui explique pourquoi la DINUM prépare désormais, outre des campagnes de prévention contre les arnaques, une bascule progressive des démarches jugées les plus sensibles, comme celles permettant un versement financier, sur son nouveau service FranceConnect+.

Cette nouvelle version du service d’identification intègre une authentification forte. L’utilisateur devra confirmer sur son téléphone mobile qu’il tente bien d’accéder au service demandé, selon BFM-TV, ou passer par une application tierce générant un code secret, selon Le Monde.





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.