1. Accueil
  2. Actu
  3. Tech
  4. FranceConnect : pourquoi il n'est plus possible de se connecter au site des impôts via le bouton Ameli
4 min de lecture

FranceConnect : pourquoi il n'est plus possible de se connecter au site des impôts via le bouton Ameli

Il n'est plus possible de se connecter au site des impôts en utilisant le bouton Ameli de France Connect. L'accès a été suspendu face à la hausse des piratages visant les usagers de l'Assurance maladie et la plateforme FranceConnect.

Le bouton Ameli est désactivé sur le site des impôts
Le bouton Ameli est désactivé sur le site des impôts
Crédit : Impots.gouv.fr
Benjamin Hue
Benjamin Hue

Depuis plusieurs semaines, il n'est plus possible de se connecter au site Impots.gouv en utilisant l'identité numérique Ameli via le dispositif FranceConnect. Le bouton dédié à l'Assurance maladie, qui permet d'accéder aux services publics en ligne en renseignant son numéro de sécurité sociale et un mot de passe, a été suspendu, officiellement à la suite d'une maintenance technique sur FranceConnect en cours jusqu'à la fin du mois d'août, peut-on lire sur le site officiel

Dans son édition du 31 août, Le Canard Enchaîné avance une autre explication : cette suspension aurait été décidée par la direction de l'Assurance maladie en raison de problèmes de sécurité informatique sur FranceConnect, qui sont décrits comme des "failles béantes". Dans une lettre adressée à la Direction interministérielle du numérique (DINUM), la Cnam annonce que l'accès au service sur le portail Ameli ne sera pas rétabli "tant que la sécurité du service ne sera pas renforcée", via des mesures comme la dissimulation de l'adresse mail des utilisateurs et l'envoi d'un courriel de confirmation à chaque connexion au service. En attendant, il n'est plus possible non plus de se connecter à Ameli.fr via le système FranceConnect depuis le 12 août.

L'hebdomadaire évoque de nombreux cas de piratages ayant visé FranceConnect au cours de l'été via des appels téléphoniques frauduleux ou des campagnes de phishing par mail visant à récupérer des identifiants de connexion pour usurper l'identité des victimes et accéder à leurs comptes sur les services publics en ligne, notamment ceux des impôts - afin d'obtenir des remboursements de trop perçu et des crédits d'impôts en modifiant des déclarations en ligne - ou ceux de l'Assurance maladie - pour se faire rembourser des médicaments. Des pratiques qui sont régulièrement dénoncées par les autorités dans des messages d'avertissements aux citoyens

Une demande de l'administration fiscale le 4 août

Selon nos informations, la suspension du bouton Ameli pour accéder au site des impôts via le portail FranceConnect est aussi le fruit d'une volonté de Bercy. Elle a été demandée cet été par l'administration fiscale pour des raisons de sécurité, en réaction à la recrudescence des fraudes qui ont touché le portail de l'Assurance maladie. Ces derniers mois, de nombreux assurés ont fait l'objet de campagnes de phishing, prétextant un faux renouvellement de carte Vitale ou un prétendu remboursement de soins, et ont transmis leurs identifiants de connexion Ameli à des cybercriminels qui ont pu pénétrer par ce biais à d'autres services publics en ligne. Des consignes ont été passées le 4 août pour déconnecter Ameli de FranceConnect afin que les contribuables se connectent au site des impôts avec leur numéro fiscal et plus via le bouton Ameli. 

À lire aussi

Contactée par RTL, la Direction générale des finances publiques explique avoir mis en place des alertes et des mesures de contrôle afin de prévenir les tentatives de hacking, comme un nombre de connexions importantes dans une courte durée ou l'envoi d'un SMS de confirmation en cas de changement de mot de passe. La DGFiP précise par ailleurs qu'un compte fiscal est suspendu dès qu'une utilisation illégale est constatée et assure, qu'à ce stade, aucune modification sur les déclarations de revenus des comptes concernés n'a été constatée.

Plusieurs centaines de signalements de fraudes sur FranceConnect cet été

Sollicitée par RTL, l'Assurance maladie n'a pas souhaité commenter la situation, renvoyant vers la Direction interministérielle du Numérique (DINUM) qui dément toute faille du dispositif FranceConnect auprès de RTL. La DINUM explique que des démarches administratives en ligne permettant d'accéder à des aides financières de l'État ou à des versements bancaires suscitent l'intérêt de délinquants, notamment le site Mon Compte Formation, aussi accessible via le bouton Ameli sur le portail FranceConnect et régulièrement visé par des arnaques visant à siphonner les droits à la formation des salariés. "En pratique, des individus mal intentionnés contactent des usagers pour leur extorquer leurs identifiants et mots de passe Ameli ou impots.gouv.fr et ensuite s’en servir pour accéder à des financements comme ceux de Mon Compte Formation", regrette la DINUM. Une intensification de ces fraudes a été observée au cours de l'été avec quelques centaines de signalements par mois pour plusieurs dizaines de connexions à FranceConnect.

Face à ces fraudes, la direction des systèmes d'information de l'État français annonce des mesures consistant en une sensibilisation du grand public à ces pratiques et la mise en place de mesures de sécurisation renforcées qu'elle ne souhaite pas détailler afin de ne pas donner les moyens aux arnaqueurs de les contourner. La DINUM entend surtout accélérer la mise à disposition dans les prochaines semaines du système FranceConnect+, qui comporte des niveaux de sécurité renforcés pour les opérateurs de services publics, pour les démarches administratives des particuliers impliquant des versements financiers, ce qui signifie que l'accès aux sites des impôts, du CPF et de l'Assurance maladie devrait être conditionné à une double authentification à l'avenir.

Cette affaire met en lumière le déficit d'harmonisation des moyens de connexion à FranceConnect. Lancé en 2017 pour faciliter l'identification et l'authentification sur les sites administratifs, FranceConnect permet d'accéder à des centaines de services publics en ligne comme le site des impôts, l'Assurance maladie, Pôle emploi ou le compte retraite. Mais la connexion à tous les services n'est pas sécurisée par les mêmes couches techniques : l'accès au site des impôts et à celui de l'Assurance maladie nécessite seulement un identifiant et un mot de passe - des données facilement piratables par le phishing - quand d'autres, comme l'identité numérique La Poste ou l'identité numérique mobile, ont mis en place une double, voire une triple authentification via l'envoi d'un code temporaire ou une vérification par carte SIM notamment. Selon le site spécialisé Acteurs Publics, 95% des connexions via FranceConnect se faisaient avec l'identité numérique Ameli et celle des impôts en 2019.

La rédaction vous recommande
À lire aussi

L’actualité par la rédaction de RTL dans votre boîte mail.

Grâce à votre compte RTL abonnez-vous à la newsletter RTL info pour suivre toute l'actualité au quotidien

S’abonner à la Newsletter RTL Info

Commentaires

Afin d'assurer la sécurité et la qualité de ce site, nous vous demandons de vous identifier pour laisser vos commentaires.
Cette inscription sera valable sur le site RTL.fr.

Signaler un commentaire

En Direct
/