Depuis le 4 août, les contribuables ne peuvent plus se connecter sur leur portail fiscal via France connect et les identifiants Ameli (le site de l’assurance maladie). En effet l’administration fiscale a constaté un nombre de connexions frauduleuses particulièrement important via ce moyen d’authentification.
Il semble que la campagne d'hameçonnage subit par l’assurance maladie ces derniers mois ait provoqué un grand nombre de vols d’identifiants d’usagers se connectant via le fournisseur d'identité Ameli. Et grâce à la magie du portail France connect qui permet de s'identifier avec un seul compte à de multiples services publics en ligne, les effets sont décuplés.
Ainsi, à partir du moment où un cybercriminel (ou un pirate informatique, quel que soit son nom) dispose des données d’identification d’un contribuable, il peut entrer dans l’ensemble des comptes détenus par la personne en question… Et bien évidemment certains ne s’en sont pas privés et cela ne date pas d’hier ! Dans un article paru le 3 janvier dernier, nous dénoncions les piratages des boîtes mail des contribuables et les conséquences qui en découlaient en termes de fraude. Si cette modalité de piratage est toujours d’actualité, nous ne pouvons que constater aujourd’hui que France connect se surajoute non comme facteur sécurisant, mais comme facteur de risque.
Quelles que soient les modalités de connexion, que l’on utilise France connect ou son couple numéro fiscal/mot de passe, il est aujourd’hui impératif de renforcer la sécurité du système d’authentification pour accéder au site impots.gouv.fr, en utilisant par exemple le double facteur. Vous savez cette procédure qui consiste à vous authentifier en 2 étapes.
Cette double authentification pourrait passer par un code reçu par SMS ou par un code généré directement depuis une application mobile sécurisée.
D’ailleurs, le "double facteur" est déjà la norme pour se connecter à des services sensibles comme ceux des banques. A priori, la Dinum (direction interministérielle du numérique) plancherait sur un basculement total sur une solution annoncée comme plus sécurisée : « France connect + » dont le seul fournisseur d’identité actuel est La poste. Cette solution obligerait les utilisateurs à installer et utiliser une application mobile, ce qui ne serait pas sans accentuer un peu plus les inégalités entre un service public 2.0 facilement accessible pour les personnes à l’aise avec le numérique et celles excluent de facto.
Mais c’est bien l’administration qui a fait le choix de pousser la dématérialisation et le tout numérique à son paroxysme. A ce titre, elle a la responsabilité, avant toute chose, de garantir une sécurité numérique maximale aux utilisateurs de ses services en ligne. Il n'est pas acceptable que la DGFiP profite de la numérisation pour réaliser des économies budgétaires sur le dos des agentes et agents, des usagères et usagers tout en refusant d'y mettre tous les moyens nécessaires.
C’est d’ailleurs pour cela qu’en parallèle, Solidaires Finances Publiques demande que soit maintenus des espaces d’accueil physique de proximité et conséquents pour les contribuables et notamment pour ceux qui ont des difficultés avec les démarches en ligne. N’oublions pas que dans son dernier rapport l’INSEE indiquait « qu’une personne sur trois déclare avoir renoncé au moins une fois à une démarche en ligne au cours de l’année, notamment les plus âgés et les plus modestes. Si les trois quarts de ces personnes ont pu effectuer cette démarche d'une autre manière, un quart a renoncé définitivement à l’accomplir. »
Il est aujourd’hui urgent de tenir compte à la fois des attentes des contribuables pour un service public de proximité, mais aussi de garantir la sécurité de leurs accès aux services administratifs en ligne.