Des milliers d'euros volés via le site des impôts à cause du bouton FranceConnect
-
Le portail permettant une accessibilité à tous les services publics ne serait pas suffisamment sécurisé. Des failles auraient permis à des pirates de dérober plusieurs milliers d’euros.
Les piratages et arnaques en tout genre pullulent sur la toile. Et même les services publics n’y coupent pas. Alors que le centre hospitalier Sud Francilien a été victime d’une tentative d’extorsion, voilà que le portail FranceConnect rencontrerait lui aussi de gros problèmes de sécurité, avance Le Canard enchaîné. Ainsi, depuis quelques semaines, l’accès aux services publics en ligne est quelque peu perturbé. “Suite à une maintenance technique sur FranceConnect, l’accès par l’identité numérique Ameli est suspendu jusqu’à la fin du mois d’août”, peut-on ainsi lire en avertissement.
La raison ? Une faille de sécurité, selon une lettre confidentielle de la Caisse nationale de l’Assurance maladie (Cnam) à la Direction interministérielle du numérique, datée du 12 août, que s’est procurée Le Canard enchaîné. “Nous allons enlever le bouton FranceConnect de notre mire de connexion”, avertit la Cnam. Cette dernière souhaite mettre en place des mesures de sécurité accrues, comme masquer l’adresse e-mail des utilisateurs ou envoyer un message à chaque connexion, avant de se raccorder à FranceConnect.
Ameli n’est pas le seul service à avoir été victime de piratage via le portail FranceConnect, le site de la Direction générale des Finances publiques, “impots.gouv.fr”, également. Le stratagème des pirates est bien rodé. En récupérant l’accusé de réception de la télédéclaration des contribuables, ils accèdent à plusieurs données personnelles, dont le numéro fiscal. Grâce à ce dernier, ils peuvent ainsi demander un nouveau mot de passe et se connecter en usurpant l’identité de leurs victimes. Une fois dans l’espace personnel de ces derniers, les hackeurs peuvent librement changer le relevé d’identité bancaire et donc encaisser les trop-perçus reversés par Bercy.
Contactée par Le Canard enchaîné, la Direction interministérielle du numérique confirme une “recrudescence des signalements passant par FranceConnect” ces derniers mois, mais assure avoir pris “dès cet été des mesures de sécurisation”. Selon les estimations du ministère de l’Économie, le préjudice s’élèverait à “plusieurs milliers d’euros”.
Source : capital.fr
-
Quelle surprise !
Utiliser un bon gestionnaire de mot de passe remplacera avantageusement c’te merde qui est un échec cuisant de plus de l’état en matière d’application.
Une passoire et même pas de double authentification…
Étonnant non ? -
Tu veux dire que les français se connectent à ce “truc” comme sur un simple forum ou tracker!
Pourquoi n’ont ils pas mis un système à la E-Banking, ça serait un minimum.
Troll from London
-
Tu veux dire que les français se connectent à ce “truc” comme sur un simple forum ou tracker!
Pourquoi n’ont ils pas mis un système à la E-Banking, ça serait un minimum.
@michmich Sur service-public.fr, chaque fois que tu te connecte tu reçois un e-mail d’avertissement, c’est trop tard pour un piratage, mais au moins tu est au courant
-
La 2AF ce serait le minimum vu la nature des données.
-
Oui ça rajoute une couche de sécurité mais attention j’ai déjà vu des Proof Of Concept comme quoi c’était assez facilement hackable s i désiré. ( le protocole à peut être été mieux sécurisé depuis) Le numéro de téléphone était détourné vers un autre, ce qui permettait au hacker de contourné le 2AF et de prendre le contrôle du compte…
-
Tant que l’ingénierie sociale existera il y aura un moyen de hacker n’importe quel système.
Même dans le cas ici, si j’ai bien compris l’article, la source de la faille reste les utilisateurs qui se sont fait dérober leur numéro fiscal, adresse mail et mot de passe. Sans ces infos je ne vois pas comment les pirates ont pu accéder au compte des impôts, de la sécu, etc. -
Allez parler de 2FA rien qu’à vos voisins IRL, vous comprendrez aisément pourquoi le GVT ne peut tout simplement pas forcer son utilisation. Sans compter que ça nécessite un numéro de téléphone portable (et un appareil), que certains ne peuvent obtenir faute de moyens financiers.
Hello! It looks like you're interested in this conversation, but you don't have an account yet.
Getting fed up of having to scroll through the same posts each visit? When you register for an account, you'll always come back to exactly where you were before, and choose to be notified of new replies (either via email, or push notification). You'll also be able to save bookmarks and upvote posts to show your appreciation to other community members.
With your input, this post could be even better 💗
S'inscrire Se connecter