01 septembre 2022

Des failles de sécurité importantes sur la plateforme FranceConnect

FranceConnect sécurité

Vendue comme un sésame ouvrant toutes les portes des services publics d'un seul coup, la plateforme FranceConnect s'avère être aussi, et surtout, une boîte de Pandore insécurisée. Que ce soit depuis le site de l'Assurance maladie, ou celui des impôts, les vols de données et d'argent se multiplient à cause de la porosité du système proposé par l'État français.

La promesse était pratique : avoir accès à l'ensemble des services publics (Ameli, impôts, retraites, poste, etc.) avec un seul et même identifiant, l'un d'entre eux pouvant se substituer aux autres. Ainsi, plutôt que d'avoir à retenir des identifiants pour chaque site, il suffisait d'utiliser celui d'Ameli pour se connecter aux impôts, à la poste, etc. Sans surprise, ce mélange des genres a ravi de nombreux pirates ; avec un numéro fiscal ou un numéro de sécurité social, il leur suffisait de faire changer le mot de passe associé pour ensuite avoir accès à tous les autres services. Et là, c'est le drame : toutes vos données sont visibles et changeables.

Fin août, Le Canard Enchaîné s'est procuré une lettre confidentielle de la Caisse nationale de l'Assurance maladie (Cnam) à la Direction interministérielle du numérique, datée du 12 août, signifiant des failles de sécurité de la plateforme FranceConnect. "Nous allons enlever le bouton FranceConnect de notre mire de connexion", explique l'Assurance maladie, dans l'attente de mises à jour de sécurité. De son côté, la Direction générale des Finances publiques prévient qu'une fois connectés, les hackeurs peuvent facilement changer le RIB associé au profil, notamment pour recevoir les trop-perçus envoyés par Bercy. Comme le rapporte Capital, "selon les estimations du ministère de l'Économie, le préjudice s'élèverait à plusieurs milliers d'euros".

Alors, avons-nous vraiment besoin d'amalgamer nos identifiants en une seule et même identité numérique pour nous simplifier la vie, au risque de céder nos données personnelles à n'importe quel pirate informatique... ou gouvernement ?

Source

Aucun commentaire:

Enregistrer un commentaire

Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.