FranceConnect. Failles de sécurité et tentatives d’arnaques : une tiers-mondisation de l’État y compris en ligne ?

FranceConnect : 1 400 comptes de la MSA piratés

FranceConnect, ce nom vous parle ? Il s’agit tout simplement de la solution d’identification créée par l’État pour « sécuriser et simplifier la connexion à plus de 1400 services en ligne », indique la plateforme. L’outil, créé par la Direction interministérielle du numérique, donne ainsi accès aux services de l’administration publique en réutilisant les identifiant et mot de passe d’un compte choisi par l’utilisateur.

En pratique, sur un site disposant du bouton FranceConnect, l’internaute, au lieu de créer un compte et d’avoir à retenir un mot de passe supplémentaire, peut se connecter grâce à l’une des six options que FranceConnect propose via un compte qu’il possède déjà. À savoir le compte impots.gouv.fr, ameli.fr, l’Identité Numérique La Poste, msa.fr et Yris.

Présentée ainsi, cette volonté de simplification semble être plutôt louable. Toutefois, FranceConnect a déjà fait l’objet de plusieurs critiques pour différentes failles de sécurité suite à des cyberattaques.

Au mois de mai dernier par exemple, où plus de de 1 400 comptes de la Mutualité sociale agricole (MSA) ont été piratés via FranceConnect, comme le rapportait notamment le Figaro le 26 mai. Le système d’authentification du Gouvernement serait-il défaillant ? Des adhérents de la MSA (mutuelle chargée de gérer la protection sociale, santé, famille, retraite, des exploitants et salariés agricoles) qui ont été victimes d’usurpation d’identité sur FranceConnect.

Une cyberattaque confirmée par Patrick Armusieaux, responsable sécurité des systèmes d’information de la Mutualité sociale agricole : « La MSA a été informée le 19 mai par FranceConnect de l’usurpation d’identité de 1 410 comptes adhérents de la MSA ». De son côté, FranceConnect s’est contentée de signaler « une activité inhabituelle considérée comme à risque ».

Par la suite, La Mutualité sociale agricole a porté à la connaissance de ses adhérents concernés ces cas d’usurpation d’identité. Et a fermé provisoirement l’accès à ses services via FranceConnect. Pas de quoi rassurer pour autant les victimes de ces malveillances, se sentant désormais « à la merci d’un système numérique ».

Des possibilités de piratage démultipliées

Si ces 1 400 cas problématiques peuvent être à relativiser par rapport aux près de 40 millions d’utilisateurs que compte FranceConnect dans l’Hexagone, ce sont davantage les possibilités immenses s’ouvrant aux pirates parvenus à usurper une identité qui interrogent. Car, en cas d’usurpation réussie, ce n’est pas un compte qui est compromis, mais l’ensemble des comptes de l’utilisateur pour les services publics. Avec; en conséquence, un préjudice potentiel beaucoup plus important.

Ironie de l’histoire par ailleurs, FranceConnect a également pu, malgré lui, permettre lui-même le piratage d’un service public. C’est ainsi qu’au mois d’août 2022, Ameli, la plateforme de l’Assurance Maladie, était contrainte de suspendre temporairement son accès via FranceConnect en raison d’une forte hausse des fraudes. Pour accéder au site des impôts, les cybercriminels avaient en effet choisi d’utiliser les identifiants de l’Assurance Maladie…

Un été 2022 qui fut décidément de mauvaise facture pour les services de l’État puisqu’à la même époque, d’autres pirates profitaient de failles dans le système afin de dérober plusieurs milliers d’euros via « impots.gouv.fr », qui n’est autre que le site de la Direction générale des Finances publiques.

Suite à ces épisodes, une nouvelle version de FranceConnect plus sécurisée et dénommée « FranceConnect+ » a été lancée par le gouvernement. Elle est dédiée aux démarches les plus sensibles, telles l’ouverture d’un compte bancaire, la réception d’une lettre recommandée électronique ou encore l’accès à son dossier médical. Contrairement à la version classique, l’utilisateur est obligé d’entrer un code ou une information supplémentaire après avoir saisi ses identifiants.

De faux agents de FranceConnect

Crédit photo : DR (photo d’illustration)
[cc] Breizh-info.com, 2023, dépêches libres de copie et de diffusion sous réserve de mention et de lien vers la source d’origine