Dans un article précédent du blog : "Je décrivais les efforts louables du gouvernement pour sécuriser l'accès aux sites des impôts, d'AMELI, etc...
Et, quelques semaines après, l'impensable arrive !
À qui se fier ?
"On ne peut plus aujourd'hui se fier à personne, on ne voit partout que fourberie, duplicité, mensonge et pourriture !" Citation de Victor Cherbuliez ; Olivier Maugant (1885)
"J’aime mieux être quelquefois trompé que de ne me fier jamais à personne". Citation de François Salvat de Montfort ; Vasconiana ou recueil des bons mots (1708)
Tout ce que je vous avais expliqué est toujours vrai et valable
- la limite de l'anonymat
- le recueil des données personnelles et leurs usages abusifs
- les contrôles nécessaires pour vérifier les identités et leurs pénibilités
- les 3 règles pour protéger vos données personnelles
- la question de la certification de votre identité en même temps que la protection de vos données
- les GAFAM, maîtres du monde dans les données personnelles et l'identification des individus
- ce qu'il faut faire pour éviter cela, quelles solutions sont les plus sûres ?
- les démarches d'identification de La Poste, France Connect, le site des impôts..
Mais... patatras ! "La" référence de la sécurité est piratée !
Le 5 septembre 202 : "Piratage de FranceConnect : comment sécuriser votre compte Ameli ?" du site JdG.
Le 1er septembre l'Obs reprend l'article du Canard Enchaîné : "Des milliers d’euros volés après une défaillance de FranceConnect".
L'Express conclut : "Ameli, Impôts.gouv, La Poste... La méthode pour se connecter au service public va changer" : "Suite à une augmentation des fraudes à FranceConnect, l'outil d'identification et de connexion aux différents services publics, le gouvernement a annoncé sa refonte partielle".
Contactée par L'Express, la Direction Interministérielle du numérique (DINUM), à l'origine de FranceConnect, explique que "des individus mal intentionnés contactent des usagers pour leur extorquer leurs identifiants et mots de passe Ameli ou impots.gouv.fr".
"Au cours de l'été, une intensification de ces fraudes a été constatée avec quelques centaines de signalements par mois", poursuit la DINUM.
Dans certains cas, les pirates ont utilisé ces identifiants pour accéder à des financements, comme ceux de Mon Compte Formation".
Alors ? Quelles conclusions ? Quelles corrections à faire ?
Une fois de plus, malheureusement, on ne peut que constater la perte de crédibilité des moyens sécurisés proposés en France par les instances étatiques, révélée par ce grave incident.
Si les pertes financières paraissent limitées, cette perte de crédibilité freine le développement de moyens de sécurité propres, indépendants des GAFAM.
Quels vont être les correctifs ?
Les ingrédients de sécurité basique sont connus : ce sont les mesures appliquées par les banques.
- en premier lieu, le double contrôle avec l'envoi d'un SMS ou d'un code de confirmation
- la vérification à partir de plusieurs appareils différents (téléphone, ordinateur...)
- le renforcement de la complexité des mots de passe et même leur doublement (il faut alors un deuxième mot de passe pour valider un envoi d'argent, par exemple)
- le plafonnement des sommes en jeu
- a posteriori, l'envoi de message d'alerte vous demandant de vérifier que "c'est bien vous qui..."
Donc, des alourdissements des procédures à prévoir, évidemment !
En conclusion, on peut se répéter que la course "des gendarmes après les voleurs" ne sera jamais finie.
Mais que, si l'on veut que le commerce et les échanges en ligne se développent, il faut que la confiance soit là. Et que, donc, les procédures sûres, fiables et suffisamment pratiques se développent.
Et, dernier souhait, que les tâches de sécurité soient maîtrisées et contrôlées par les États sous la coupe des élus et des citoyens. Il en va de nos libertés fondamentales futures.
