Signalement des cas d'usurpation d'identité

FranceConnect met à disposition des mécanismes permettant aux usagers et aux partenaires de signaler les usurpations d'identité. Cette documentation explique comment les usurpations d'identité sont gérées par l'équipe FranceConnect, les mesures de protection mises en place pour sécuriser l'écosystème et ce qui est attendu des fournisseurs de service en cas de signalement. Elle vise à clarifier le rôle de chaque acteur dans la lutte contre l'usurpation et à assurer une collaboration efficace entre FranceConnect et ses partenaires.

Origines des signalements #

Les signalements d'usurpation d'identité peuvent être effectués par différents canaux : directement par les usagers via des interfaces dédiées, ou par les partenaires (fournisseurs d'identité et fournisseurs de service) lorsqu'ils détectent des activités suspectes. FranceConnect est également en capacité de détecter et signaler des usurpations d'identité en analysant les flux d'authentification.

Signalement par les usagers #

FranceConnect met à disposition des usagers des outils leur permettant de détecter eux-mêmes les usurpations d'identité et de les signaler si nécessaire :

Alerte de connexion : FranceConnect envoie une alerte par mail lorsqu'une connexion a lieu dans un contexte inhabituel. Cette alerte permet à l'usager d'être informé et de confirmer s'il s'agit ou non d'une usurpation d'identité. Ce dispositif lui permet d'agir rapidement en cas d'activité inhabituelle sur son compte.

Tableau de bord : FranceConnect met à disposition des usagers un tableau de bord leur permettant de contrôler l'usage de leur identité au travers de FranceConnect, notamment grâce à un historique de connexion. Cet outil leur permet de détecter toute connexion susceptible d’être une usurpation et de réagir en conséquence.

Suite à la détection d'une usurpation d'identité par un usager, celui-ci est accompagné par l'équipe support afin de s'assurer qu'il s'agisse bien d'une usurpation. Si celle-ci est avérée, il est invité à réaliser un signalement auprès de l'équipe support de FranceConnect.

Signalement par les partenaires #

Les partenaires, qu'il s'agisse des fournisseurs d'identité ou des fournisseurs de service, ont la possibilité de signaler toute usurpation d'identité qu'ils détectent dans leurs systèmes ou qui leur est signalée par des usagers ou d'autres partenaires.

Traitement des signalements #

Pour chaque signalement d'usurpation d'identité effectué auprès du support de FranceConnect, le processus suivant est appliqué :

  1. Identification des partenaires concernés par les signalements
  2. Envoi du signalement aux partenaires concernés
  3. Recommandations de mesures de précaution auprès de l'usager

La description de chacune des étapes processus est présentée ci-dessous.

Identification des partenaires concernés par les signalements

L'équipe FranceConnect procède à l'identification des partenaires impactés par le signalement d'usurpation d'identité. Cette étape consiste à déterminer quels fournisseurs de service et fournisseurs d'identité sont concernés, en fonction des informations disponibles dans le signalement. Ces partenaires peuvent être impactés directement par l'incident et peuvent être amenés à prendre des mesures pour protéger les usagers.

Envoi du signalement aux partenaires concernés

Une fois les partenaires identifiés, le signalement d'usurpation d'identité est transmis à ces derniers, en incluant toutes les informations nécessaires pour qu'ils puissent prendre les mesures appropriées. Les informations de connexion suivantes sont systématiquement partagées avec les partenaires concernés :

  • Date et heure de connexion : cette donnée précise le moment exact où l'incident a été détecté. Elle permet aux partenaires de localiser la tentative d'usurpation dans le temps et de vérifier toute activité suspecte autour de cette période.
  • Sub (Identifiant technique de l'usager) : il s'agit de l'identifiant unique de l'usager concerné par le signalement. Cet identifiant permet de faire le lien entre le signalement et l'usager dans les systèmes des partenaires, afin qu'ils puissent prendre les actions nécessaires sur le compte ou l'identité affectée.
Recommandations de mesures de précaution auprès de l'usager

Lorsqu'un usager fait l'objet d'une usurpation d'identité, il est crucial qu'il prenne des mesures immédiates pour protéger son compte et ses informations personnelles. L'équipe FranceConnect fournit les recommandations suivantes pour minimiser les risques et sécuriser son identité. Ces recommandations sont faites directement à l'usager s'il est à l'origine du signalement, ou au travers de la FAQ FranceConnect pour les usagers dont les usurpations se font par l'intermédiaire d'un partenaire.

  • Changement de login / mot de passe sur le compte concerné

L'équipe FranceConnect recommande à l'usager de demander à bloquer l'usage de son identité auprès de certains Fournisseurs d'Identité spécifiques. Cette mesure permet de limiter les accès frauduleux aux services utilisant son identité en réduisant les risques d'exploitation de ses données personnelles.

  • Bloquage l'usage de son identité au travers de certains fournisseurs d'identité

L'équipe FranceConnect propose à l'usager, si cela est jugé nécessaire, de bloquer l'usage de son identité au travers de certains fournisseurs d'identité spécifiques. Cette action est réalisable à l'aide du tableau de bord mis à disposition par FranceConnect. Cela permettra de conserver la possibilité d'utiliser FranceConnect tout en ayant l'assurance que le compte usurpé ne puisse plus être utilisé pour accéder à des démarches au travers de FranceConnect.

Cette mesure permet de limiter les accès frauduleux aux services utilisant son identité et de réduire les risques d'exploitation de ses données personnelles.

  • Bloquage de l'usage de l'identité sur FranceConnect

Si l'usager estime que son identité a été compromise, l'équipe FranceConnect lui propose de bloquer l'utilisation de son identité sur FranceConnect. Cette action permet d'empêcher toute tentative de connexion frauduleuse via FranceConnect quelque soit le fournisseur d'identité utilisé et de sécuriser l'accès à ses services en ligne.

Contrairement à la recommandation précédente qui permet à l'usager d'accéder à ses démarches en continuant d'utiliser FranceConnect, celle-ci obligera l'utilisateur à utiliser des moyens alternatifs pour accédér à ses démarches, FranceConnect n'était plus utilisable avec son identité.

  • Utilisation d'une identité numérique avec un plus fort niveau d'authentification

Pour renforcer la sécurité de ses connexions et de ses interactions en ligne, l'usager est encouragé à utiliser une identité numérique telle que France Identité, L'identité Numérique La Poste ou Yris. Ces solutions garantissent l'authenticité lors de la création de l'identité, ainsi que l'utilisation d'un second facteur à la connexion, réduisant ainsi le risque de fraude.

  • Surveillance des alertes de connexion et de l'historique de connexion

Il est recommandé à l'usager de surveiller régulièrement les alertes de connexions reçues par email, et son historique de connexion disponible sur le tableau de bord FranceConnect, afin de détecter toute activité suspecte. Les systèmes d'alertes permettent de suivre les tentatives d'accès à son compte et d'agir rapidement en cas de comportement anormal.

  • Signalement à FranceConnect de tout soupçon d'usurpation d'identité

Enfin, l'usager doit signaler toute nouvelle usurpation d'identité ou activité suspecte à FranceConnect. En signalant rapidement ces incidents, l'usager contribue à la détection précoce des fraudes et aide à la mise en place de mesures correctives pour protéger son identité et celle des autres utilisateurs.

Actions à la charge du Fournisseur d'identité en cas d'usurpation d'identité #

Lorsqu'un cas d'usurpation d'identité est signalé, le Fournisseur d'identité doit mettre en place plusieurs actions afin de protéger l'usager et de prévenir d'autres incidents similaires.

1. Prendre les mesures nécessaires pour protéger le compte ou l'identité numérique de l'usager

Le Fournisseur d'Identité doit sécuriser le compte concerné en appliquant des mesures adaptées telles que :

  • la réinitialisation du mot de passe ou des facteurs d'authentification ;
  • la suspension temporaire ou le blocage du compte ;
  • la vérification de l’identité de l’usager avant toute action critique ;
  • l’application de contrôles renforcés pour éviter une nouvelle compromission.

La liste des mesures mises en place par le fournisseur d'identité est de sa responsabilité et peut différer d'un fournisseur à l'autre.

2. Identifier d'autres cas d'usurpation similaires lorsque cela est possible

En analysant les connexions et les comportements suspects, le fournisseur d'identité tente de détecter d'autres cas d'usurpation qui pourraient être liés. Cette analyse peut inclure :

  • la recherche d'activités suspectes associées au compte concerné ;
  • l’identification de motifs récurrents dans les incidents signalés ;
  • la mise en place de mécanismes d’alerte automatique pour anticiper de nouveaux cas.

3. Communiquer avec l'usager

Il est à la charge du fournisseur d'identité de communiquer à l'usager les mesures prises ainsi que des bonnes pratiques à adopter pour renforcer la sécurité de son compte. Cette communication peut inclure :

  • une notification expliquant l'incident et les actions entreprises ;
  • des recommandations pour améliorer la sécurité de son compte (ex. : activation d’une authentification forte) ;
  • une assistance pour l’aider à reprendre le contrôle de son compte ou de son identité numérique.

4. Réaliser une déclaration auprès de la CNIL si nécessaire

Si l'usurpation d'identité constitue une violation de données à caractère personnel, le fournisseur d'identité doit évaluer s'il est nécessaire de déclarer l’incident à la CNIL (Commission Nationale de l'Informatique et des Libertés), conformément au Règlement Général sur la Protection des Données (RGPD).

Actions à la charge du Fournisseur de service en cas d'usurpation d'identité #

Lorsqu'un cas d'usurpation d'identité est lui est remonté par l'équipe FranceConnect, le fournisseur de service** doit mener une série d'actions afin d'évaluer la situation, sécuriser les comptes concernés et assurer un suivi auprès des différentes parties prenantes.

1. Identifier les comptes concernés

Lorsqu'un signalement d'usurpation d'identité est reçu, le fournisseur de service doit identifier, dans son système d'information, les comptes ou les données potentiellement impactés, afin d'évaluer l'ampleur de l'incident et prévenir toute nouvelle exploitation frauduleuse des informations compromises. Il peut s'appuyer sur les données fournies par FranceConnect. Le sub (identifiant technique de l'usager) facilite l'identification des informations de l'usager dans le système d'information du fournisseur de service. Cette information est transmise à chaque connexion de l'usager et devrait être présente le référentiel de données du fournisseurs de service, ainsi que dans les traces d'audit du service.

2. Analyser les cas d'usurpation

Le fournisseur de service doit ensuite examiner les signalements pour déterminer s'il s'agit réellement d'une usurpation d'identité. Cette analyse peut inclure :

  • la vérification des actions réalisées sur la durée des sessions liées aux connexions suspectes, et identifiées à partir des dates et heures de connexions transmises par FranceConnect ;
  • l’examen des logs et des comportements inhabituels ;
  • la corrélation avec d'autres incidents signalés sur la même période.

3. En cas de fraude avérée

Si l'analyse confirme une fraude ou une usurpation d'identité, le fournisseur de service doit réaliser les actions suivantes :

  • prendre les mesures de protection nécessaires : annulation des opérations réalisées, renforcement des contrôles de sécurité, etc ;
  • informer les usagers si besoin : contacter l’usager concerné pour l’alerter, lui recommander des actions à entreprendre ;
  • réaliser une déclaration à la CNIL si nécessaire : si l’incident implique une violation de données personnelles, le fournisseur de service doit évaluer s’il est nécessaire de notifier la Commission Nationale de l'Informatique et des Libertés (CNIL), conformément au Règlement Général sur la Protection des Données (RGPD).

4. Faire un retour à FranceConnect

Enfin, le fournisseur de service doit faire un retour à FranceConnect pour indiquer si l’usurpation signalée a été confirmée ou non. Ce retour permet :

  • d’améliorer la détection et la prévention des fraudes ;
  • de renforcer la coopération entre les différents acteurs de l’écosystème FranceConnect.
Retour en haut de page
Paramètres d'affichage
Choisissez un thème