Impôts, Ameli : comment sécuriser vos comptes pour éviter les piratages via FranceConnect

Haro sur la plateforme FranceConnect. La multiplication des campagnes d'escroqueries visant les démarches administratives en ligne accessibles via les identités numériques de ce portail officiel a contraint l'Assurance maladie et les finances publiques à suspendre certains accès à leurs services pour limiter les risques de fraudes. Depuis le début du mois d'août, il est ainsi impossible de se connecter au site des impôts en utilisant le bouton Ameli de FranceConnect, tandis que le site Ameli.fr est seulement accessible en renseignant son numéro de sécurité sociale et son mot de passe.

Dispositif central de la politique numérique de l'État, FranceConnect permet de se connecter à des centaines de services publics ou privés en utilisant une identité numérique certifiée, comme le compte Ameli ou celui des impôts, sans avoir à créer un compte spécifique sur les autres plateformes. Conçu pour simplifier et sécuriser les démarches en ligne de quelque 39 millions de Français, ce portail comporte toutefois un collatéral fâcheux : si l'accès à l'une des plateformes tombe entre de mauvaises mains, il peut devenir le sésame pour un piratage de beaucoup d'autres.

Ce trou dans la raquette du dispositif est d'autant plus problématique que la connexion à tous les services ne dispose pas du même degré de sécurisation, de sorte que tout l'écosystème peut être compromis par le site le moins exigeant. C'est ce qui s'est produit avec le site des impôts et celui de l'Assurance maladie, qui représentent l'écrasante majorité des connexions à FranceConnect, et nécessitent seulement un identifiant - en l'occurrence le numéro fiscal et de sécurité sociale - et un mot de passe. Des informations qui sont facilement piratables par le phishing et qui suscitent naturellement l'intérêt des délinquants, comme l'ont illustré les multiples campagnes d'escroqueries observées ces derniers mois et la controverse de cette semaine.

En réaction, la Direction interministérielle du numérique (DINUM), qui chapeaute le dispositif et les systèmes d'information de l'État français, a annoncé à RTL qu'elle allait accélérer le déploiement auprès des particuliers de FranceConnect+, une évolution plus sécurisée de FranceConnect qui rajoute des étapes de validation (vérification de pièce d'identité, envoi de SMS) pour renforcer la sécurité des comptes impliquant des versements financiers (impôts, remboursements de soins, compte formation) en passant notamment par l'identité numérique sécurisée de La Poste.

Sécurisez vos comptes et votre mail principal

En attendant de bénéficier de ces solutions techniques plus contraignantes mais plus sûres, il est déjà possible de relever la sécurité de vos comptes personnels en suivant certaines consignes à la lettre. 

La première chose à faire est de prendre la mesure des techniques utilisées par les pirates pour prendre la main sur les comptes des victimes. Ils disposent pour cela de plusieurs portes d'entrée. Le plus souvent, ils tentent de récupérer les identifiants avec des arnaques plus ou moins sophistiquées imitant des démarches officielles invitant les victimes à renseigner leurs informations personnelles. Ils peuvent aussi accéder à leur boîte mail principale - en récupérant leurs login par un phishing ou en testant de multiples combinaisons avec des programmes automatisés - et ensuite prendre la main sur les comptes visés en passant par le processus de récupération d'un mot de passe oublié.

Il convient donc de bien sécuriser l'accès à vos comptes sur les services publics en ligne mais aussi votre boîte mail principale. Pour ce faire, commencez par vous connecter à votre espace en ligne sur le site Ameli, celui des impôts ou votre client mail pour changer votre mot de passe. Il est impératif de définir un mot de passe fort et unique que vous n'utilisez nulle part ailleurs. Trouvez une combinaison mêlant des majuscules, des minuscules, des chiffres et des caractères spéciaux sans aucun rapport à votre identité ou des élément facilement devinables par un tiers. 

Activez des sécurités complémentaires : codes à usage unique, notifications de connexions par mail

Les plateformes ont mis en place des mesures complémentaires pour renforcer la sécurité de leurs accès. Mais celles-ci ne sont pas forcément obligatoires, comme Google qui a généralisé la double authentification des comptes Gmail fin 2021. C'est souvent à vous de les activer. Le site des impôts propose par exemple l'envoi d'un code à usage unique par SMS pour sécuriser la récupération d'un numéro fiscal ou renouveler un mot de passe. Il faut pour cela renseigner et valider son numéro de téléphone portable avec un code à 6 chiffres reçu par SMS dans son espace particulier dans la section "Mon profil", "Modifier", "Mes moyens de contact". Pensez à mettre à jour votre numéro si vous changez de téléphone.

Le site de l'Assurance maladie ne propose pas de double authentification à proprement parler. Mais la récupération d'un mot de passe oublié, ou la modification de coordonnées bancaires sont sécurisées par un code temporaire envoyé sur l'adresse mail de l'assuré. Il convient donc de vérifier que l'adresse associée à votre compte est la bonne et que vous l'avez correctement sécurisé. En outre, depuis le printemps dernier, chaque connexion à un compte Ameli déclenche automatiquement l'envoi d'une notification sur le mail de l'assuré pour s'assurer que l'internaute à l'origine de la démarche est la bonne personne. 

Méfiez-vous des sollicitations des impôts, d'Ameli et du compte formation

Plus largement, il convient de faire preuve de vigilance face aux nombreuses sollicitations que vous recevez par mail, SMS ou par appel. Interrogée par RTL, la direction interministérielle du numérique (DINUM) rappelle que ni FranceConnect, ni Ameli, ni la direction générale des finances publiques, ni Mon Compte Formation ne contactent les citoyens pour leur demander de communiquer des identifiants ou des mots de passe, et qu’il convient donc de ne jamais répondre à ces sollicitations, qu’elles se produisent par téléphone, par SMS, ou par courrier électronique. Ce sont des tentatives de phishing, comme l'arnaque à l'activation de la carte Vitale ou celle au faux remboursement de soins.