Impôts, Ameli, Compte Formation : FranceConnect+ bientôt généralisé pour limiter les arnaques
Face aux nombreuses campagnes d'arnaques qui visent les services administratifs en ligne, les autorités vont accélérer le déploiement de FranceConnect+ afin de proposer un mode de connexion plus sécurisé aux particuliers à partir de septembre.
Après FranceConnect, vous allez bientôt devoir vous familiariser avec FranceConnect+. Face à la recrudescence des campagnes d'escroqueries visant les services publics en ligne accessibles via les identités numériques de FranceConnect, la direction interministérielle du numérique (DINUM) a annoncé à RTL qu'elle allait progressivement mettre en place une version plus musclée du portail de connexion.
Lancé en 2017 pour faciliter l'identification et l'authentification sur les sites administratifs, FranceConnect permet d'utiliser une identité numérique, comme un compte Ameli ou un compte fiscal, pour accéder à des centaines de services publics en ligne, comme le site des impôts, l'Assurance maladie, Pôle emploi ou le compte retraite, sans avoir à créer un nouveau compte spécifique. 39 millions de Français utilisent actuellement ce système au quotidien.
Problème : la connexion à tous les services n'est pas sécurisée par les mêmes couches techniques. L'accès au site des impôts et à celui de l'Assurance maladie, qui représentent l'écrasante majorité des connexions à FranceConnect, nécessite seulement un identifiant - en l'occurrence le numéro fiscal et de sécurité sociale - et un mot de passe. Or, ces données sont facilement piratables par le phishing. Ce qui suscite naturellement l'intérêt des délinquants.
"Des individus mal intentionnés contactent des usagers pour leur extorquer leurs identifiants et mots de passe Ameli ou impots.gouv.fr et ensuite s’en servir pour accéder à des financements comme ceux de Mon Compte Formation", explique la DINUM. Les pirates peuvent aussi utiliser ces informations pour accéder au compte fiscal de contribuables et modifier leur déclaration en ligne afin d'obtenir des crédits d'impôts ou des remboursements de trop-perçu vers un nouveau RIB.
Après avoir vu remonter plusieurs centaines de signalements de fraudes cet été, et sous la pression de Bercy, le bouton Ameli a été désactivé début août du portail FranceConnect pour accéder au site des impôts. L'assurance maladie a également retiré le système FranceConnect du site Ameli.fr le temps de relever le niveau de sécurité du dispositif.
FranceConnect+ : des étapes supplémentaires pour valider son identité
Dans les prochaines semaines, une bascule vers le système FranceConnect+ va être réalisée afin de proposer un mode de connexion plus sécurisé aux particuliers. Lancé l'automne dernier pour répondre aux exigences européennes en matière de cybersécurité, FranceConnect+ servait jusqu'ici à sécuriser les démarches des opérateurs des services publics en mobilisant des identités numériques plus sécurisées. Il devait progressivement être étendu aux procédures administratives des particuliers impliquant un risque de sécurité accru, comme les services de santé ou les services bancaires. La multiplication des arnaques actuelles a convaincu les autorités d'accélérer son déploiement.
À partir de septembre, il sera progressivement possible de se connecter aux services publics dont les démarches peuvent impliquer des versements financiers avec une identité numérique compatible avec FranceConnect+. Les sites des impôts, de l'Assurance maladie et du Compte Formation devraient logiquement être concernés. À l'heure actuelle, l'utilisation de FranceConnect+ passe par l'identité numérique de La Poste, l'un des premiers services à être conforme à ce niveau de sécurité renforcé. La création d'un compte implique la validation d'une pièce d'identité et d'un code temporaire envoyé par SMS. Et à chaque connexion via FranceConnect+, l'usager est invité à valider une notification mobile après avoir renseigné son identifiant et son mot de passe.
D'autres services, comme Yris ou Mobile Connect, qui utilisent un selfie ou la carte SIM de l'usager ont vocation à être ajoutés pour authentifier une identité. "Plus contraignantes mais similaires aux outils désormais bien connus de nos concitoyens pour accéder à leurs comptes bancaires, ces solutions techniques permettront de garantir l’équilibre entre accessibilité des services publics et sécurisation des démarches sensibles", explique la DINUM, qui n'a pas encore précisé quels services seront généralisés en premier lieu. À terme, FranceConnect+ doit également mobiliser la future application France Identité qui repose sur la nouvelle carte d'identité biométrique.
- FranceConnect : pourquoi il n'est plus possible de se connecter au site des impôts via le bouton Ameli
- La Poste : une nouvelle arnaque à l'avis de passage pour voler des données bancaires
- Piratage dans les hôpitaux : quels sont les risques pour les patients ?
- Instagram : une arnaque par mail vise les utilisateurs français