L'Assurance maladie désactivée de FranceConnect pour des raisons de sécurité
Si vous avez l'habitude de vous connecter sur le site des impôts en vous identifiant avec votre compte Ameli, il va désormais falloir faire autrement. « Suite à une maintenance technique sur FranceConnect, l'accès par l'identité numérique Ameli est suspendu jusqu'à nouvel ordre », annonce la plateforme. Selon le Canard enchaîné, ce mode d'identification aurait en fait été volontairement bloqué de certains services pour des raisons de sécurité.
L'hebdomadaire explique avoir mis la main sur une lettre confidentielle de l'Assurance maladie destinée à la Direction interministérielle du numérique (DINUM), qui s'occupe de FranceConnect. Ameli aurait volontairement décidé de fermer les vannes à cause de faiblesses en matière de sécurité informatique. Elle voudrait rouvrir l'accès au service une fois les mesures de protection améliorées.
S'il est difficile de savoir précisément ce qui se passe en coulisse, on peut imaginer que les nombreuses campagnes d'hameçonnage visant les Français ont poussé Ameli à tirer la sonnette d'alarme. Il faut dire que les arnaqueurs cherchant à accéder aux comptes FranceConnect sont nombreux ces derniers temps : les sites des impôts et celui de l'Assurance maladie mettent d'ailleurs en garde les utilisateurs directement sur leurs pages d'accueil.
Arnaque : gare aux escrocs cherchant à accéder à votre compte France Connect
Les escrocs procèdent généralement via des campagnes de mails ou par téléphone afin d'endormir leurs interlocuteurs et de soutirer leurs identifiants. Une fois l'accès obtenu au compte FranceConnect d'un utilisateur, les malandrins ont le champ libre : ils peuvent se connecter sur différents sites, par exemple pour changer les RIB des remboursements médicaux ou encore pour vider les comptes CPF dans une formation bidon.
La DINUM confirme « une recrudescence des signalements passant par FranceConnect » et explique que ses mesures de sécurité vont être revues. En attendant, certains utilisateurs ne se connectant que via Ameli se retrouvent en incapacité d'accéder à leurs documents sur le site des impôts. La connexion via l'Assurance maladie est entre temps revenue sur une majorité des autres sites comme la CAF ou l'ANTS.
On va bientôt se connecter avec son pouce ou son visage et finis les mdp.....
Le plus gros inconvénient d'une authentification centralisée :/
@blopi4
Y a pas de solution parfaite, et il faut qu'elle soit un minimum accessible à tous (sans oublier qu'il y a quand même des seniors qui ne savent pas utiliser un ordinateur)
"encore pour vider les comptes CPF dans une formation bidon"
pas besoin d'hameçonnage pour çà, ya les centres d'appel qui sont nos amis 😅
"on peut imaginer que les nombreuses campagnes d'hameçonnage visant les Français ont poussé Ameli à tirer la sonnette d'alarme"
c'est ma 3eme carte vitale qu'on me demande de valider, dernier message en date ce matin, allez trouver où mon numero a été divulgué tiens..
quė malheur... 😞
À un moment j'avais ce sms tous les jours ! Un enfer.
Puis j'ai commencé à les signaler au 33700.
@blopi4
Ça marche ? Je ne suis inscrit à bloctel, ça n’a jamais marché…..j’ai appris que les entreprises devaient payer pour avoir accès à la liste des gens ne voulant pas se faire emmerder…🤬 ou 😂 au choix.
C'est comme jeter une bouteille à la mer, mais j'imagine que derrière ya un humain qui ensuite fait bloquer le num auprès de l'opérateur ?
@rolmeyer
Bloctel ne marche pas avec les escrocs naturellement.
@rolmeyer
L’application ‘Orange Téléphone ´ va très bien pour ça. Compatible tous opérateurs
https://apps.apple.com/fr/app/orange-t%C3%A9l%C3%A9phone/id1441313724
@Sindanárië
Ok 🙏🏻
@blopi4
Je viens d’emménager en France et dès l’obtention de ma SIM française, j’ai reçu une arnaque au compte Améli. Je me suis fait avoir car je venais de faire ma demande de droit… donc cette décision de bloquer la connexion ne m’étonne pas.
@blopi4
Pareil, signalement 33700 puis Orange Téléphone puis je bloque.
@raoolito
Ah ben je suis moins seul. Carte vitale, sms toutes les semaines avec numéro tournant vu que bloque à chaque fois le numéro…
@raoolito:
Il m'a toujours semblé que c'était le concept premier de cette vaste fumisterie 🙄
C'est l'avantage d'Android, ça filtre tout automatiquement 😇
@anonx
iOS le fait aussi. C’est juste histoire de dire que t’aimes pas Apple. Tu fais quoi ici au juste ?
@Yoshi_1
😈Il attend que les newbies mordent à l’hameçon 🎣
Tu as mordu !
FranceConnect, une de ces innombrables machines à coudre à vapeur inventées pour nous "faciliter" la vie...
@Oncle Sophocle
Je trouve ça très bien perso.
@monsieurg33K
J’adore aussi.
Sinon comme gestionnaire d'authentification ça aurait pu être facebook, google, twitter au final ce n’est probablement pas si mal non ?
Perso je ne m'en plains pas. Le seul reproche c'est que tout ce qui gravite autour des services publics, nationaux, régionaux, locaux, ou des sites qui demandent de prouver ou pouvoir prouver son identité ne l'utilisent pas. Par exemple dans le privé Boursorama Banque l'utilise, je trouve ça très pratique pour simplifier les formalités d'ouverture de compte.
Ça en fait des mots pour expliquer qu'une maintenance est en cours
Le gros défaut de France Connect : ne pas imposer une authentification à double facteur. Ça me semble un minimum pour ce type de service !!
@spockyss
Je suis d’accord… la fonctionnalité est-elle au moins proposée ? Ça m’intéresse
@spockyss
J’utilise la Poste comme prestataire FranceConnect : il y a une double authentification au travers de l’app Digiposte. Par ailleurs, à chaque utilisation de la connexion FranceConnect, je reçois un mail d’information de FranceConnect.
Mais si c'est bien le cas!
La première fois où on veut utiliser l'un des sites proposés (Ameli, la Poste, ...) pour se connecter via FranceConnect, il faut d'abord, si ce n'est pas encore fait, aller activer la double authentification sur le site en question (et choisir un mot de passe plus robuste si celui qu'on avait était insuffisant).
Et comme le rappelle macT, à chaque connexion avec FranceConnect (ou tentative de connexion), on reçoit un mail nous en informant.
ce qui est incompréhensible aussi, c'est que j'arrives à me connecter au site du service public avec franceconnect et mes identifiant impôts mais pas mon épouse son compte ne serait pas sécurisé c'est complémtement mal fichu leur système ?
impots.gouv.fr estime que les données du compte de mon épouse ne sont pas éligibles ? le formulaire n'y a rien changé...
@gasova
Bonjour, pour activer ce type de compte il faut absolument avoir une adresse mail personnelle. Est-ce bien le cas de votre épouse ? Vous ne pouvez pas relier son compte avec votre e-mail ou un e-mail commun si celui-ci est déjà associé à votre compte personnel.
C'est déjà tellement compliqué
Faudrait rouvrir les agences pour pouvoir fournir ou modifier les justificatifs / coordonnés en présence avec pièces d'identités.
Je n’ai jamais utilisé FranceConnect.
Tout simplement parce que si le MDP FranceConnect est trouvé par un malandrin, il a accès à tout (impôts, Ameli…).
Je préfère conserver ces liens de façon indépendante, bien séparés. Si un MDP fuit, il n’y a qu’un seul service qui est touché.
Et de toute façon, avec le remplissage automatique des MDP dans Safari, c’est pas plus compliqué.
Que vous utilisiez ou pas FranceConnect, n'empêchera pas qu'un tiers qui aurait vos identifiants Ameli (par exemple) et qui aurait trouvé la faille pour passer outre la double authentification, d'utiliser FranceConnect, lui, pour accéder à tous les sites auxquels il est possible de se connecter via FranceConnect.
Et attention avec le remplissage automatique des MDP dans Safari, si votre mot de passe iCloud est trouvé par un malandrin, il aura accès à tout (impôts, banques, ameli, ...)
@r e m y
Il y a quand même la double authentification sur icloud aussi …
Tout comme sur les sites qu'utilise FranceConnect (dont Ameli). Il faut croire que ce n'est pas sûr à 100% et que certains arrivent à contourner cette protection (je n'ai aucune idée de comment ils y parviennent).
@r e m y
« Que vous utilisiez ou pas FranceConnect, n'empêchera pas qu'un tiers qui aurait vos identifiants Ameli (par exemple) et qui aurait trouvé la faille pour passer outre la double authentification, d'utiliser FranceConnect, lui, pour accéder à tous les sites auxquels il est possible de se connecter via FranceConnect. »
C’est vrai. Mais ça ajoute une étape et donc un délai. Pendant lequel je devrais être averti…
Et puis il faut franchir la double id…
« Et attention avec le remplissage automatique des MDP dans Safari, si votre mot de passe iCloud est trouvé par un malandrin, il aura accès à tout (impôts, banques, ameli, ...) »
Je ne pense pas : mes MDP trousseau ne sont pas sauvegardés sur iCloud.
Ce qui le fait rire avec ces sms bidon, quand tu réponds à ce genre d’arnaque en traitant l’arnaqueur de fils de pute, il arrive qu’il reponde 😂 un peu énervé 😂
J’aime lui remettre une deuxième couche.
@fredsoo
Oui enfin au delà du fait que ça ne sert à rien, tu oublies qu’il connaît tes infos personnelles et que tu ne sais rien de lui, en somme ce n’est pas très malin
@Urubu
Ça ne sert absolument à rien c’est vrai. Mais ça reste amusant de voir l’énervement bien réel. 😋
Il ne savent en principe rien d’extra à part le numéro de tel ou l’e-mail. Si ils avaient des infos top défense, ils se feraient ps chier à nous spamer.
Ça fait deux jours que je change tous mes mots de passe...
Suis bien contant du coup de n'avoir jamais utilisé FranceConnect !
Que tu ne l'aies jamais utilisé, n'empêche pas un malandrin qui aurait tes identifiants Ameli, ou la Poste (par exemple), de l'utiliser à ta place pour se connecter aux différents sites proposant FranceConnect (sous réserve qu'il ait trouvé comment contourner la double authentification qu'utilisent ces sites, mais il semblerait que pour Ameli, a minima, ce soit le cas).
@ r e m y
> Que tu ne l'aies jamais utilisé, n'empêche pas un malandrin qui aurait tes identifiants Ameli, ou la Poste (par exemple), de l'utiliser à ta place
Et comment le malandrin aurait-il pu obtenir mes identifiants ?
J'utilise exclusivement mon Mac et Safari pour me connecter.
Ce n'est pas le sujet. Je répondais à votre commentaire où vous vous félicitez de ne pas utiliser FranceConnect. Ce que je veux préciser c'est que vous l'ayez utilisé ou pas, d'autres peuvent l'utiliser dans votre dos.
Donc en n'utilisant pas FranceConnect vous êtes tout autant concerné par cette News relative à FranceConnect et à une faille éventuelle via Ameli.
J’ai changé mon mot de passe récemment sur Ameli: mot de passe limité à 50 caractères et pas de 2FA via authentificateur. Pour une app qui gère des données sensibles ça serait bien d’avoir un OTP via app d’authentification et une limite de mdp a 100 caractères
@ fatboyseb
Le 2FA par code envoyé par SMS marche très bien.
Personnellement je clique sur le lien, je remplis n'importe quoi : Georges Méliès, 2 rue de la lune, 01001 Terre, des 0 et des 1 pour les codes et numéros demandés. Et seulement après je balance les adresses sur les sites anti fraude. Ils m'amusent bien les hackers de dernière zone, le pire c'est qu'apparemment des personnes se fassent encore avoir par ce genre de technique qui me semble être d'un autre âge 🤷🏻♂️.
J’ai pas de compte Ameli, c’est pour ça que je reçois les courriers sur les versements.
.
Par contre quid du Dossier Médical Partagé ?
L'inscription à FranceConnect nécessite en seconde étape d'envoyer un scan recto verso de la carte d'identité. Ça a motivé mon refus d'inscription
Un pot de cornichons n'est pas demandé
Ah ben tiens j’ai justement eu un sms de phishing cette semaine. Comme d’habitude, mais cette fois-ci à la place du numéro de téléphone, j’ai eu une sorte d’URL enregistrée en Chine!
Ah bah voilà pourquoi ça n’apparaissait plus