France Connect, le service de la DINUM pour s'identifier à un service public tiers via des identifiants utilisés sur un autre service public (Impôts, Ameli, La Poste...) est dans l'oeil du cyclone. Dans un article du Canard Enchaîné ce mercredi 31 août, le manque de sécurité de ce service est pointé du doigt par la Caisse Nationale de l'Assurance Maladie. « L'accès au service sur le portail Ameli ne sera pas rétabli tant que la sécurité du service ne sera pas renforcée via des mesures comme la dissimulation de l'adresse mail des utilisateurs et l'envoi d'un courriel de confirmation à chaque connexion au service », a indiqué la direction générale de la CNAM dans un courrier adressé à la DINUM en charge de France Connect.

« Des opérations techniques sont en cours depuis le 12 août pour sécuriser davantage la connexion au compte ameli avec le service France Connect. Dans cette attente, la connexion par la biais de France Connect est provisoirement suspendue. Le compte ameli reste naturellement accessible avec son numéro de sécurité sociale et son mot de passe », nous a expliqué une porte-parole de l'Assurance Maladie. Contactée par la rédaction pour des informations sur le sujet, la DINUM n'a pour l'heure pas répondu à nos questions. « Nous avons effectivement constaté au cours des derniers mois une recrudescence des signalements passant par FranceConnect [...] dès cet été des mesures de sécurisation ont été mises en oeuvre par les acteurs de l'écosystème FranceConnect, avec une recherche constante d'équilibre entre sécurité et accessibilité aux différents services publics », a répondu dans des propos pour le moins sibyllins la DINUM à notre confrère du Canard Enchaîné. 

Bercy à la manoeuvre depuis août 

La direction générale des finances publiques serait en fait à la manoeuvre depuis le 4 août, selon nos confrères de RTL pour pousser la déconnexion d'Ameli de France Connect afin d'empêcher toute connexion via ce biais. Un choix décidé au vu de la recrudescence des vols de données d'identifiants Ameli via des campagnes massives de SMS et de phishing ayant pour but de pénétrer dans les comptes en ligne des utilisateurs pour changer leurs RIB et encaisser les virements qui leurs sont destinés. Sur son site, France Connect prévient par ailleurs ses utilisateurs : « une campagne de phising est actuellement en cours sous la forme d'e-mails imitant les notifications envoyées par FranceConnect après chaque connexion. Ces e-mails malhonnêtes tentent de récupérer vos identifiants ». Selon des statistiques dénichées par Acteurs Publics, Ameli représente 49% des connexions via France Connect contre 46% pour celui des Impôts.

Un effet boule de neige sur le site des Impôts ayant eu lieu, Bercy a donc tapé du poing sur la table. « Suite à une maintenance technique sur FranceConnect, l'accès par l'identité numérique Ameli est suspendu jusqu'à nouvel ordre. L'accès à votre espace particulier est donc actuellement impossible si vous utilisez habituellement vos identifiants Ameli. Dans l'attente du rétablissement de cet accès sur FranceConnect, nous vous invitons à vous rendre de préférence directement dans votre espace particulier pour vous connecter avec votre compte impots.gouv.fr », indique de son côté un communiqué publié sur le site des Impôts depuis le 11 août.