Ameli a été déconnecté de FranceConnect, empêchant ses utilisateurs de s'y connecter à partir de leur numéro de sécurité sociale, explique BFMTech.
Officiellement, il s'agirait d' « une maintenance technique », mais la Direction interministérielle du numérique (DINUM) confirme au Canard Enchaîné « une recrudescence des signalements passant par FranceConnect » et des « faiblesses en matière de sécurité informatique » du côté de l'Assurance maladie.
Un courrier adressé à la DINUM « prévient de la suppression volontaire de l'accès au service sur le portail Ameli, menaçant de ne pas le rétablir tant que la sécurité du service ne serait pas renforcée ».
Commentaires (44)
#1
La sécurité sur Amélie étant pourrie on ne peut plus l’utiliser pour s’identifier sur les impôts par ex, c’est ça ?
De mémoire, il y’a peu c’était le no de sécu (devinable) + un code à 4-6 chiffres non-modifiable envoyé par courrier papier.
Ce qui est dommage c’est d’avoir coupé l’accès dans l’autre sens (ex: impôts identifie Amélie)
#1.1
Non ils ont forcé à mettre des vrais mots de passe depuis quelques mois.
Mais ça aurait été sympa de prévenir, ça fait plusieurs semaines qu’on ne peut plus l’utiliser pour accéder à certains services, sans aucune explication… bon pas compliqué d’avoir un autre identifiant via les impôts, mais pas forcément évident pour tout le monde non plus j’imagine.
#1.2
AMELI, pas AMELIE !
#2
La sécu est ridicule sur un service aussi critique. On ne peut même pas mettre d’U2F en place avec une clé de sécurité. Lamentable.
#3
C’est ce que j’en comprends.
Ca, c’était avant. Maintenant ils demandent un vrai mot de passe
#3.1
Pourtant, je ne comprends pas, un code à 6 chiffres ultra casse bonbon à taper sur un clavier virtuel (mesure ultra sécurisée !!) c’est un excellent moyen de sécurité. La preuve : les banques l’utilisent toutes, et mon assurance a récemment remplacé les mots de passe forts par ça, sous prétexte d’augmenter fortement (je cite) la sécurité.
Par voie de conséquence, vraiment, je ne vois pas ce qui te fait dire :
le système à six chiffres semble bien bien bien plus sécurisé d’après ces sachants.
(attention à la #Team1erDegré ^^)
#3.2
D’ailleurs c’est quoi la vrai justification de l’emploi de ce système, plutôt qu’un mot de passe avec MFA ?
#3.3
ça empêcherait le vol du mot de passe par keylogger (non, il suffit de prendre une capture d’écran à chaque clic) et attaques par force brute (surement + vrai, mais au prix de quel baisse de la sécu !).
#3.4
Ah oui, le fameux clavier virtuel dont les hackers adorent car tu as visuellement le code et depuis des années les troyans font du screenshot quand il y a un clique
Le seul que je connais qui est bien bloqué c’est le crédit mut’, en fonction de l’opération c’est un moyen d’auth’ différent, entre l’user / mot de passe / SMS / Carte de code PIN / Boîtier
DigiPass.Alors ça peut être casse couille mais au moins c’est pas comme Boursorama est leur mot de passe en PIN 6 chiffres sur clavier visuel.
#4
Juste sur le site des impôts alors (ce qui me fait doucement c…r), d’autres services comme l’ANTS permettant toujours d’utiliser Ameli.
En revanche, depuis au moins 1 an, Ameli demandait un vrai mot de passe modifiable avec chiffres, lettres et caractères spéciaux.
#5
Ameli-méli-mélo
#6
Impressionnant ce gros taquet derrière la nuque quand même !
J’espère que ça va forcer l’Assurance Maladie à améliorer les choses, parce que c’est inquiétant !
#7
#8
Le numéro de sécu avait l’avantage qu’on puisse le retenir, vu que les nombres signifient quelque chose (et c’est pour ça que je l’avais choisis). Utiliser France Connect avec le numéro des impôts, c’est impossible de retenir ce numéro qui ne veut rien dire
#9
Ca me semble être un problème général avec France Connect. On peut s’authentifier sur tous les sites administratifs avec les login/mdp de n’omporte lequel des 7 sites embarqués sur France Connect. Ca fait 7 fois plus de chances de réussir un credential stuffing. France Connect devrait avoir ses propres login/mdp, avec MFA (et pas que de l’OTP, des trucs plus modernes comme WebAuthn et Passkeys).
#9.1
J’ai jamais compris ce trip… c’est juste n’importe quoi, pourquoi pas un identifiant unique pour tous les services ? Quel intérêt de faire des identifiants uniques sur chaque site, mais qui fonctionnent sur tous les sites ?
C’est juste bancal…
#9.2
Euh …
Exemple : avec ton MdP Google, tu te connectes à tous les services Google de façon transparente.
Y’a même des sites qui incluent un système pour se connecter avec des comptes Google/Facebook/autre … justement pour ne pas avoir à mémoriser de nouveaux identifiants.
Là, le principe est le même : pouvoir se connecter à un site “de l’état” à l’aide d’un autre site qui nous connait déjà.
#9.3
Oui, mais ils se croisent tous, c’est un peu différent:
Faudrait juste proposer de créer un “identifiant unique FranceConnect” qui se connecte sur tous les sites, et pas transformer chaque identifiant de chaque site en identifiant FranceConnect.
#10
Le sachiez-vous du jour :
Ameli signifie A ssurance M aladie En LI gne …
C’est bon, vous pouvez retourner dormir 😅
#10.1
L’État a certes des défauts, mais on ne peut pas leur enlever de travailler férocement sur les noms de leurs services.
Dans l’éducation nationale, on a colibris, imag’in, eole, mom, orelie, sympa, tribu, compas, gaia, myraé, sofia, verdon et j’en passe…
Alors chaque nom est un acronyme trouvé de manière ingénieuse, mais c’est le bordel au final, je dois ouvrir tous les services dans l’ordre d’affichage jusqu’à retrouver celui qui m’intéresse
#11
Ça aurait pu s’appeler AMEL en fait !
#12
Et le logo de Carrefour ça fait un C. Et LDLC c’est les initiales de son créateur.
#13
En visant la lune, c’est sûr !
#14
Le protocole U2F est pas si répandu que ça, au moins pour les applications/services grand public.
#14.1
D’où l’intérêt de le mettre sur France Connect… Les 7 sites en profitent d’un coup, sans changement de leur côté.
#15
Dans l’article de BFM, si j’ai bien compris, ce n’est pas la sécurité d’Amélie ou autre qui est en cause.
Ce sont les utilisateurs qui donnent eux-mêmes leur mot de passe Amélie.
Comme Amélie est fournisseur d’identité FranceConnect, cela permet diverses fraudes en particulier le siphonage des montants du CPF.
Mais même si la sécurité d’Amélie doit pouvoir s’améliorer, ce n’est pas simple de protéger des utilisateurs qui donnent eux-mêmes leur mot de passe à des escrocs.
#15.1
Donc les arnaques aux CPF sont vraiment une nuisance sans nom au point de débrancher un service.
Et le fait que le numéro INSEE (alias sécu) soit facile à trouver obtenir, fait qu’AMELI est un canal d’attaque privilégié.
France Connecter t’envois un courriel de notification quand tu l’utiliser. Cela permet de détecter des connexions non prévues.
C’est vrai que France Connecter gagnerait à ce qu’utilisateur puissent débrancher certains moyens de connexion.
Perso, je n’utilise jamais AMELI pour me connecter a France Connecter, si je pouvais le débrancher cela serait bien.
#16
Comme ça le pirate a juste besoin de pirater une base de données et pas 7.
#17
Pas tout à fait.
Il a 7 bases qu’il peut attaquer. Et s’il réussit 1 seule attaque, il peut s’identifier sur les 7 services. Quelque part, il a 7 fois plus d’occasion d’arriver à réussir une attaque pour un résultat final identique (obtenir l’accès au 7 sites).
#18
Je suis d’accord sur l’idée que l’utilisateur de FranceConnect devrait être en maitrise des fournisseurs d’identité qu’il utilise. Tant que l’utilisateur conserve au moins deux fournisseurs d’identité, car un incident technique est si vite arrivé.
Il peut y avoir des variations : qu’il soit alerté (plus fort que d’habitude), en cas d’usage de certains fournisseurs.
Note : tu proposes une autre variation, enlever ceux qu’il n’utilise pas, cela fonctionne un peu moins bien, car la liste des fournisseurs d’identité n’arrête pas de croître. Bientôt la carte d’identité via je ne sais plus quel organisme, la carte sésame vitale via le GIE du même nom, certains opérateurs téléphoniques…).
#19
Je parle des identifiants. S’il attaque une base, il obtient les comptes de cette base-là (qui donnent accès aux autres services), mais pas les comptes sur les autres bases qui ne sont pas présents sur la première base. S’il n’y a plus qu’une seule base, alors il obtient l’ensemble de tous les comptes existants (qui donc sont forcément dessus).
#20
Ça rejoint ce que je disais sur une brève précédente: ce n’est pas le rôle de la sécu d’être une autorité d’authentification.
C’est redondant, et logiquement ils le font moins bien que d’autres services de l’État dont c’est le rôle.
#20.1
FranceConnect utilise des fournisseurs d’identités.
Pour amorcer la pompe, il en fallait quelques un disposant d’une bonne population et avec une gestion des identités assez sérieuse.
Ameli répondait à tous ces critères, dans le sens ou avec leur propre lutte contre la fraude, Ameli dispose d’un processus d’enrôlement assez complet… Idem pour les impôts. En exagérant cela n’a coûté que le prix d’implémenter le protocole OpenIDConnect, le reste était déjà en place.
C’était une très bonne façon de commencer.
D’ailleurs pour le niveau substantiel, la sécu s’y colle encore avec la carte sésame vitale. Encore une fois, “sans” surcoût car ils doivent faire du substantiel en masse pour l’espace numérique de santé.
La présence de la sécu, n’empêche pas d’autres fourniseurs d’identités d’exister. Je pense à la Poste, qui utilise son réseau de facteurs pour proposer le service d’enrôlement à domicile ce qui est pratique.
#21
Ta tronche quand tu peux plus te connecter sur AMELI
#22
Espérons “mon espace santé” est mieux protégé…
https://www.monespacesante.fr/
#23
D’accord, mais pas sur de bien comprendre. Tu penses plutôt au cas d’une attaque visant à avoir accès à ces informations en masse, pour les publier par exemple ?
Pas a une attaque visant à accéder à tout les comptes d’un ou de quelques individus.
#24
Bah non tu n’es pas obligé d’avoir 7 login/mdp différents : 1 seul suffit (ex avec ton user / mdp des impôts, tu peux créer le compte Ameli ,celui de la retraite… à aucun moment tu ne reçois d’identifiant chez eux, ton seul moyen de connexion est celui des impôts.
Je crois que ça fonctionne aussi si tu oublies un mot de passe existant, ton login ameli est locked, tu peux (enfin pouvais) accéder à ton compte ameli dont le mot de passe est locked avec ton compte impôts par ex.
#24.1
J’avais déjà des comptes sur ameli, impots, et d’autres, avant que France Connect ne soit créé. Je ne dois pas être le seul. Le facteur de risque n’est peut-être pas multiplié par 7 car personne n’a un login ur chacun des 7 sites, mais quand même. Si un seul des sites sur lesquels j’ai un mdp ne fait pas correctement son boulot pour bloquer les brute force et autres attaques, tous les autres sites sont mis en risque. Et ils n’ont aucun moyen de voir qu’il y a eu 10000 échecs d’auth avant le login réussi. Ils n’ont probablement même pas les logs pour investiguer. Tous ces services ne sont peut-être pas aussi bien financées que les impots. Certains doivent être obligés de transiger avec les bonnes pratiques. Je trouve ça risqué.
Je persiste à penser que France Connect devrait être un IDP avec un unique set de login/mdp qui lui serait propre. Une équipe dédiée, un financement dédié. Et ils peuvent travailler à rendre ça plus robuste. On pourrait même imaginer utiliser la CNI version carte à puce pour de l’auth sécurisée.
#25
J’ai la même lecture et donc un MFA réglerait le problème (du moins en partie) il me semble.
#26
Probablement des gens coincés 15 ans en arrière, persuadés que les keyloggers n’ont pas évolué et sont toujours incapables de prendre des captures d’écran à la volée…
8 chiffres
#27
Oui, c’est à ça que je pensais.
#28
Si tu ne fais pas confiance à un des sites, tu y bloques ton mdp en saisissant 5 - 6x un mauvais.
Franchement tu reçois une notif mails à chaque connexion sur un nouveau service, donc ça me semble plutôt améliorer la sécurité que la faire baisser. Un pirate qui entrerait à ton insu qqpart risque de déclencher une notif en essayant d’accéder à un nouveau service, tu seras alors averti par mail du site qui est tombé.
#29
Il me semble que je ne reçois plus de mail, ce qui est bienvenu plus le service est utilisé. Mais oui, ça diminue la sécurité pour le confort.
#30
Concrètement, il vaut mieux 1 système d’authentification correctement sécurisé, que 7 qui font la même chose, et où tu peux être sûr qu’au moins 1 des 7 (et probablement plus) est mal sécurisé.
La DiNum devrait mettre en place un système d’auth centralisé qui remplacerait les autres. Ils sont censés avoir les compétences pour cela dans leur service, contrairement à l’assurance maladie apparemment.