Il est impossible de se servir de ses identifiants Ameli via FranceConnect depuis quelques semaines. Officiellement, c’est en raison d’une maintenance technique qui dure. Mais des soucis de sécurité sont aujourd’hui en cause.

Que se passe-t-il avec l’interconnexion entre l’Assurance Maladie (Ameli) et le portail FranceConnect ? Depuis quelques semaines, il n’est plus possible de se servir des identifiants du premier pour se connecter à d’autres plateformes du service public, comme le site des impôts. Le bouton est grisé et un message « non disponible » est visible en passant la souris dessus.

Officiellement, c’est en raison d’une « maintenance technique » que l’accès par Ameli à FranceConnect est suspendu, peut-on lire sur le site de la direction générale des finances publiques. Aucune précision n’est donnée sur les causes ayant justifié cette intervention. Quant au calendrier de remise en service, il est aussi très vague : la coupure durera « jusqu’à nouvel ordre. »

FranceConnect Ameli
L’Assurance Maladie est désactivée sur FranceConnect. // Source : Capture d’écran

Si FranceConnect demeure opérationnel à travers d’autres outils de connexion (cinq autres méthodes sont listées, dont les codes d’accès au site des impôts et l’outil d’identité numérique de La Poste), l’interruption ciblant Ameli prive les particuliers d’une solution familière et dont l’usage est répandu, au même titre que l’accès via le site des impôts.

Or, cela s’avère handicapant au regard du rôle de plus en plus central qu’entend prendre FranceConnect. Ce portail d’accès pour les services publics sert en fait de point de passage global, à travers un système de connexion unifié. Plus d’un millier de démarches administratives sont rattachées à FranceConnect aujourd’hui, ce qui permet de ne se servir que d’un identifiant et un mot de passe.

Bien sûr, il reste possible de se connecter à chaque plateforme administrative avec l’identifiant et le mot de passe correspondant. FranceConnect reste facultatif. Mais le site s’avère très commode. Chez une part croissante des particuliers, son usage s’est imposé. Toute perturbation sur FranceConnect peut dès lors causer des difficultés aux individus ayant besoin de faire une démarche.

Pour l’heure, les internautes n’ont pas d’autre choix que de se reporter sur l’une des cinq autres solutions restantes. C’est d’ailleurs le conseil figurant sur le site de la direction générale des finances publiques. Du côté d’Ameli, FranceConnect n’est pas proposé comme solution de connexion. Et son problème de maintenance n’est pas évoqué dans ses pages, selon nos constatations.

Une campagne de phishing usurpant FranceConnect

Mais dans l’édition du 31 août du Canard Enchaîné, on apprend que ce n’est pas juste pour une simple maintenance technique que cette interruption a été prise. Il est indiqué que la Caisse nationale de l’assurance maladie (Cnam) a adressé un courrier à la Direction interministérielle du numérique (Dinum) pour se plaindre d’un niveau de sécurité insuffisant

La Cnam s’est retirée de FranceConnect, selon les informations du Canard, citées par BFM Tech. De son côté, la Dinum a admis auprès de l’hebdomadaire « une recrudescence des signalements passant par FranceConnect ». Ameli est une cible régulière, avec des campagnes récurrentes d’appels téléphoniques, de courriers électroniques et de SMS frauduleux.

On peut d’ailleurs lire régulièrement des messages d’avertissement sur les pages d’Ameli et de FranceConnect. Ce dernier indique d’ailleurs « qu’une campagne de phishing est actuellement en cours sous la forme d’e-mails imitant les notifications envoyées par FranceConnect après chaque connexion ». Le but ? Récupérer les identifiants de connexion.

FranceConnect phishing
L’alerte visible sur le site de FranceConnect. // Source : Capture d’écran

Toujours d’après le Canard, des mesures de sécurité auraient été déployées au cours de l’été par la Dinum, avec le souci de maintenir une bonne utilisabilité du service par le plus grand nombre — c’est un équilibre compliqué, car durcir les protections se fait parfois au détriment de la commodité d’emploi. Et le but n’est pas de faire de cette plateforme un site réservé aux nerds.

Ces nouvelles protections n’ont, pour l’heure, pas fait infléchir Ameli. En tout cas, la coupure avec FranceConnect est toujours visible. Dans une page publiée le 31 août, l’Assurance Maladie fait d’ailleurs un rappel sur les risques d’hameçonnage visant le public. Et prévient que les tentatives de phishing utilise FranceConnect. Signe que le souci d’usurpation du service perdure.