Auteur Sujet: Problème de sécurité pour Ameli (Lu 3150 fois)

mirtouf · « **le:** 31 août 2022 à 17:00:23 »

Bonjour,

il semblerait que l'implémentation France connect a des failles de sécurité du côté d'Ameli:
https://www.huffingtonpost.fr/france/article/sur-franceconnect-l-acces-par-l-assurance-maladie-n-est-plus-disponible-pour-raison-de-securite_207154.html

Je me demande s'il y aura un CVE d'ouvert.

pju91 · « **Réponse #1 le:** 31 août 2022 à 17:17:00 »

Citation de: mirtouf le 31 août 2022 à 17:00:23

Bonjour,

il semblerait que l'implémentation France connect a des failles de sécurité du côté d'Ameli:
https://www.huffingtonpost.fr/france/article/sur-franceconnect-l-acces-par-l-assurance-maladie-n-est-plus-disponible-pour-raison-de-securite_207154.html

Je me demande s'il y aura un CVE d'ouvert.

Mouais, je suis perplexe : sauf erreur, le code source de France Connect est publié sur GitHub depuis plusieurs mois. S'il y avait des réelles failles de sécurité, je pense que ça aurait été constaté.
Qu'en revanche les bénéficiaires de l'assurance maladie soient victimes de phishing, ce qui permet à des hackers de se connecter à des comptes Ameli et de là, grâce au service France Connect, d'aller sur d'autres sites comme celui des impôts, ça, c'est très vraisemblable et justifie d'ajouter des mesures de protection complémentaires.

mirtouf · « **Réponse #2 le:** 31 août 2022 à 17:36:43 »

C'est ce qui est peu clair pour moi dans l'article du canard ou du Huffington Posts, il y a eu du phising mais est-ce que certaines données étaient trop facilement accessibles comme l'adresse email des utilisateurs ?

vivien · « **Réponse #3 le:** 31 août 2022 à 22:17:45 »

La problématique de France Connect, c'est que la surface d'attaque est élargie à toutes les partenaires.

Pour moi, l'authentificaiton avec deux facteurs (mot de passe + SMS par exemple) devrait être obligatoire, vu les données traitées.

kazyor · « **Réponse #4 le:** 01 septembre 2022 à 09:41:30 »

Citation de: vivien le 31 août 2022 à 22:17:45

La problématique de France Connect, c'est que la surface d'attaque est élargie à toutes les partenaires.

Pour moi, l'authentificaiton avec deux facteurs (mot de passe + SMS par exemple) devrait être obligatoire, vu les données traitées.

Ok pour du 2FA mais pitié ne pas imposer le SMS !
Le SMS c'est une fausse bonne idée.

butler_fr · « **Réponse #5 le:** 01 septembre 2022 à 10:09:25 »

tu veux mettre quoi à la place?
une application mobile obligatoire comme les banques? (comme ça exit les petits vieux)
une clé à token? (dispo pour tous en 2045 pour la modique somme de 10millards €)
un lien par mail (et bien sur avec le même mot de passe que le compte ameli sinon c'est pas drôle)
un courrier par la poste? (remarque le problème de diminution du courrier serait réglé)

kazyor · « **Réponse #6 le:** 01 septembre 2022 à 10:40:47 »

Si on parle des petits vieux, ils n'ont pas tous un mobile

Dans ma phrase de départ, le mot important est "imposer" :

Citation de: kazyor le 01 septembre 2022 à 09:41:30

Ok pour du 2FA mais pitié ne pas imposer le SMS !

En clair laisser la possibilité de configurer un système (T)OTP.
Il y a pleins d'applications/clefs dispos pour ça et au pire, le gouv peut sortir la sienne.

Il faudrait également voir les potentielles synergies avec la nouvelle carte identité électronique et même le nouveau service France Identité. (Après avoir posé le pour et le contre sur l'hyper convergence des infos).

« **Réponse #7 le:** 01 septembre 2022 à 10:52:43 »

Pour ceux qui pensent que la validation par SMS c'est "sécure", je les invite à consulter https://en.wikipedia.org/wiki/SIM_swap_scam (en anglais désolé).
C'est une méthode de plus en plus utilisée.

vivien · « **Réponse #8 le:** 01 septembre 2022 à 10:53:51 »

Citation de: kazyor le 01 septembre 2022 à 10:40:47

Il faudrait également voir les potentielles synergies avec la nouvelle carte identité électronique et même le nouveau service France Identité.

+1

xp25 · « **Réponse #9 le:** 01 septembre 2022 à 11:17:12 »

Pourquoi ne pas proposer une carte low consumption qui génère un code aléatoire après avoir tapé son code secret sur cette carte, comme les applications de double authentification :

pju91 · « **Réponse #10 le:** 01 septembre 2022 à 12:13:28 »

Citation de: kazyor le 01 septembre 2022 à 10:40:47

Si on parle des petits vieux, ils n'ont pas tous un mobile

Il faudrait également voir les potentielles synergies avec la nouvelle carte identité électronique et même le nouveau service France Identité. (Après avoir posé le pour et le contre sur l'hyper convergence des infos).

Citation de: vivien le 01 septembre 2022 à 10:53:51

+1

-1 car :

le besoin d'amélioration de la sécurité est immédiat ... pas quand la nouvelle carte d'identité sera généralisée
ça ne traite pas la question des "petits vieux" de kazyor, qui pourtant sont souvent les plus vulnérables au phishing, ni d'ailleurs celle des personnes en situation "d'illectronisme".

kazyor · « **Réponse #11 le:** 01 septembre 2022 à 12:26:37 »

Pour moi, j'insiste, il ne faut pas une seule solution imposée, mais plusieurs.

Et c'est à la création du compte que l'on choisit sa solution ce qui désactive les autres pour l'authentification.
Dans son compte, possibilité de changer de solution 2FA à tout moment.