Impossible depuis août pour les presque 40 millions d’utilisateurs de FranceConnect de se connecter en ligne à tous les services publics (Ameli, impôts, info retraite, etc.). En cause, une fermeture du téléservice insuffisamment sécurisé à cause d’une campagne d’e-mails frauduleux imitant la notification de connexion de FranceConnect.
FranceConnect est un téléservice en ligne d’identification et d’authentification développé dès 2015 par la Direction interministérielle du numérique (Dinum), la DSI de l’État français. Il donne accès aux services de l’administration publique française et d’entreprises privées en réutilisant les identifiant et mot de passe. En avril 2022, FranceConnect est utilisé par près de 40 millions de personnes sur plus de 1 000 services en ligne.
« Une campagne de phishing est actuellement en cours »
Mais depuis août, impossible pour eux de se connecter à tous les services publics (Ameli, impôts, info retraite, etc.) via FranceConnect. En cause, une fermeture temporaire du système à cause d’une campagne d’e-mails frauduleux imitant la notification de connexion FranceConnect.
Par exemple, le bouton FranceConnect dédié à l’Assurance maladie (Ameli) est inactif. FranceConnect en explique la raison sur son site : « Une campagne de phishing est actuellement en cours sous la forme d’e-mails imitant les notifications envoyées par FranceConnect après chaque connexion. Ces e-mails malhonnêtes tentent de récupérer vos identifiants. Si vous avez un doute sur l’expéditeur ou si vous recevez un mail alors que vous n’avez pas utilisé FranceConnect, veuillez consulter notre FAQ et nous transmettre l’e-mail frauduleux ».
De nombreux services publics impactés, dont les impôts
L‘Assurance maladie n’est pas le seul service public impacté par cette campagne d’e-mails frauduleux. La Direction interministérielle du numérique a confirmé au journal Le Canard Enchaîné une recrudescence des signalements passant par FranceConnect ces derniers mois. Le site des impôts, impots.gouv.fr, a également été touché.
Les pirates s’emparent avec leurs emails frauduleux de l’accusé de réception de la télédéclaration des contribuables pour récupérer le numéro fiscal et leur demander d’entrer un nouveau mot de passe. Ensuite, ils peuvent se connecter en usurpant l’identité de leurs victimes, changer le RIB pour récupérer des trop-perçus et voler des données et/ou de l’argent. Idem pour le site de l’Assurance Maladie.
Cette suspension de FranceConnect fait suite à une décision de la direction de la Caisse Nationale de l’Assurance Maladie (Cnam), qui souhaite que ce service corrige ses faiblesses en matière de sécurité informatique. FranceConnect ne communique aucune date quant à une prochaine réactivation de son service de connexion.
