L’accès au Compte personnel de formation (CPF) va désormais passer par une authentification plus sécurisée. A partir de demain, mardi 25 octobre, il faudra utiliser FranceConnect+ à la place de FranceConnect pour confirmer l’achat d’une formation, vient d’annoncer l’administration.
Ce renforcement de la sécurité était attendu. Il avait en effet été annoncé il y a plusieurs semaines après des suspensions partielles du service à cause d’une augmentation des fraudes. Ce changement avait été également mentionné il y a encore peu par la ministre chargée de l’Enseignement et de la formation professionnels, Carole Grandjean.
Des arnaques au CPF utilisant la passerelle FranceConnect
Cible de choix des cybercriminels avec ses 40 millions d’utilisateurs et l’accès à 1400 services en ligne, FranceConnect est en quelque sorte victime de son succès. Ce portail permet de se connecter à différents services en réutilisant ses identifiants des impôts, de l’Assurance Maladie, de son identité numérique, de la Mutualité sociale agricole ou de La Poste. Mais l’administration avait remarqué des vols d’identifiants et de mots de passe de l’Assurance Maladie ou des Impôts pour ensuite valider des achats de formations sur le CPF, par exemple.
A la la fin de l’été, le Canard enchaîné avait d’ailleurs remarqué que l’authentification sur le site des impôts via FranceConnect avait été suspendue. Un rapport du service de renseignement financier Tracfin évaluait la fraude au compte personnel de formation à 43,2 millions d’euros en 2021, contre 7,8 millions d’euros l’année précédente, une forte hausse qui a entraîné le dépôt d’une proposition de loi.
Déjà utilisé par l’AP-HP
La nouvelle version de FranceConnect, FranceConnect+, opéré par la direction interministérielle du numérique, doit justement permettre d’empêcher de telles escroqueries. Ce service est destiné aux démarches les plus sensibles, liées à un compte bancaire, un changement de RIB ou à l’accès à un dossier médical, par exemple, comme l’espace patient des usagers de l’Assistance Publique – Hôpitaux de Paris (AP-HP).
Sur le fond, FranceConnect+ ajoute une couche de sécurité avec une authentification forte à deux facteurs aux moments les plus critiques, en gardant les mêmes principes de réutilisation d’une identité sans création de compte dédié. Il faudra cependant créer au préalable son Identité numérique La Poste, le premier et seul partenaire du dispositif pour le moment, qui permettra par exemple de valider une opération en cours avec un code secret via une notification reçue sur son smartphone.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));