Piratage FranceConnect : ce système d'identification est-il vraiment sûr ?
Plus de 1 400 comptes de la Mutualité sociale agricole (MSA) ont été piratés via le portail d'identification numérique FranceConnect. Une cyberattaque qui interroge sur la sécurité du système d'authentification du Gouvernement…
FranceConnect, la solution d'identification créée par l'État pour faciliter la connexion à différents services en ligne, a rendu les démarches administratives à distance beaucoup plus simple. Avec ce dispositif d'identification mutualisé, un identifiant et un mot de passe uniques suffisent pour accéder en toute sécurité à plus de 1 400 sites et services – se connecter à son compte Ameli, demander un passeport sur le site ANTS, accéder à France Identité, l'application contenant un équivalent numérique de la carte d'identité, etc. (voir notre guide pratique). Mais le système est loin d'être infaillible et il est lui aussi la cible de piratage. En effet, comme le rapporte Le Figaro, plus de 1 400 adhérents de la Mutualité sociale agricole (MSA) – qui gère la protection sociale, santé, famille, retraite, des exploitants et salariés agricoles – ont été victimes d'usurpation d'identité sur FranceConnect.
"La MSA a été informée le 19 mai par FranceConnect de l'usurpation d'identité de 1 410 comptes adhérents de la MSA", a annoncé Patrick Armusieaux, responsable sécurité des systèmes d'information de la Mutualité sociale agricole. En effet, FranceConnect a signalé "une activité inhabituelle considérée comme à risque", sans toutefois que cela débouche sur des activités frauduleuses. La MSA a bien évidemment pris des mesures pour informer les adhérents concernés et fermer provisoirement l'accès à ses services via FranceConnect, mais de nombreux usagers se sentent désormais "à la merci d'un système numérique", étant donné qu'ils ne peuvent se défendre contre ces cyberattaques tant qu'ils n'ont pas subi de préjudice réel.
Piratage FranceConnect : un seul identifiant pour tous ses comptes
En soi, cette cyberattaque ne concerne que très peu de monde, puisque d'après les statistiques officielles, plus de 40 millions de personnes ont utilisé au moins une fois FranceConnect. Mais le problème avec ce système, c'est que si l'on se fait pirater, ce n'est pas un compte qui est compromis, mais l'ensemble de ses comptes pour les services publics. Le préjudice potentiel est par conséquent bien plus important, surtout que certaines démarches et informations sont particulièrement sensibles.
Et c'est sans compter le fait que FranceConnect permet parfois lui-même le piratage d'un service public. En août 2022, Ameli suspendait temporairement son accès via ce système suite à une intensification des fraudes, les cybercriminels utilisant les identifiants de l'Assurance Maladie pour se connecter aux impôts via FranceConnect. À cette même période, des failles ont permis à des pirates de dérober plusieurs milliers d'euros via le site de la Direction générale des Finances publiques, "impots.gouv.fr". La Direction interministérielle du numérique avait confirmé une "recrudescence des signalements passant par FranceConnect" durant les derniers mois.
Face aux nombreuses tentatives – et réussites – de piratage, le Gouvernement a lancé FranceConnect+, une version plus sécurisée pour les démarches les plus sensibles, comme ouvrir un compte bancaire, accéder à son dossier médical, recevoir des lettres recommandées électroniques... Cette version du service d'identification intègre une authentification forte, comme l'obligation d'entrer un code ou une information supplémentaire après avoir entré ses identifiants – un peu comme ce que proposent les banques en ligne. Dans tous les cas, il est primordial d'activer la double authentification – c'est le minimum syndical pour protéger son compte.