Le site gouvernemental annonce le renforcement des mesures d’authentification sur sa plateforme, afin de mieux contrer les tentatives d’arnaques croissantes sur le compte personnel de formation.
A partir du mardi 25 octobre, les utilisateurs du site www.moncompteformation.gouv.fr devront utiliser le service d’authentification FranceConnect+ pour acheter de nouvelles formations. Une répression qui ajoute une vérification supplémentaire de l’identité des utilisateurs du site : FranceConnect+ est une version lancée en 2021 du service d’identité en ligne FranceConnect qui propose une authentification forte, basée sur au moins deux facteurs, pour les services les plus sensibles.
Alors que FranceConnect permet d’accéder aux services en ligne en réutilisant les identifiants de connexion à d’autres services administratifs, FranceConnect+ propose une authentification plus sécurisée via un prestataire agréé. Ce dispositif, qui permet de se connecter à plus de 1 400 services publics déjà couverts par FranceConnect, était pour l’instant optionnel. C’est la première fois qu’il est rendu obligatoire sur un portail.
Pour le moment, un seul fournisseur permet de se connecter avec FranceConnect+ : l’identité numérique de La Poste, qui permet d’utiliser une authentification forte basée sur un couple identifiant-mot de passe et une application smartphone pour vérifier l’identité de l’utilisateur. Pour les utilisateurs sans smartphone ou qui ne souhaitent pas utiliser le service de La Poste, un formulaire spécifique sera préparé dans la rubrique « aide » du site, qui leur permettra de s’inscrire à une formation sans passer par FranceConnect+.
Dispositif d’accompagnement dans les bureaux de poste
Un dispositif d’accompagnement des utilisateurs sera également mis en place dans les bureaux de poste et animé par eux, afin de permettre aux usagers de « vérifier leur identité en ligne, en bureau de poste ou à domicile en prenant rendez-vous avec leur facteur ». Dinos). Il a précisé que si La Poste Digital Identity est actuellement le seul fournisseur agréé, d’autres devraient être pris en charge à l’avenir.
Ce choix technique fait frémir la Fédération nationale des organismes de formation des élus locaux (Fnofel), qui dans un communiqué déplore « un changement unilatéral » qui oblige les élus à subir un « système d’authentification incompréhensible », inadapté aux besoins des élus locaux . La fédération déplore une nouvelle phase de numérisation forcée imposée par la Caisse des dépôts et des consignations – qui gère le site Mon compte formation depuis début 2022 – au détriment des élus et des organismes de formation.
Les escrocs obtiennent les identifiants du compte CPF de la victime (…) pour inscrire la victime à une fausse formation (…) et récupérer les sommes sur le compte
Ce renforcement des contrôles d’identité sur la plateforme vise à mieux lutter contre les arnaques au compte personnel de formation (CPF), devenues particulièrement fréquentes depuis le passage du droit individuel à la formation (DIF) au CPF en 2019. Les identifiants du compte CPF de la victime, la plupart du temps en se faisant passer pour des préposés au service au téléphone, puis utilisent cet accès pour inscrire la victime à des formations fausses ou bâclées puis récupérer les sommes sur le compte.
Des contrôles renforcés en 2022
En 2021, l’organisme de lutte contre la fraude financière Tracfin a ainsi estimé le montant total relatif aux déclarations de soupçons de fraude au CPF à 43,2 M€, contre seulement 7,8 M€ pour l’année 2020. La mise en place de nouveaux contrôles au cours de l’année 2022 semble pourtant porter ses fruits : comme l’explique la Caisse des dépôts, le nombre de déclarations de tentatives de fraude au CPF au cours de l’année 2022 est passé de 8 207 en janvier 2022 à 4 123 en août. A peu près la même tendance sur la plateforme Cybermalveillance.gouv.fr. Sur ce, le nombre de signalements d’internautes victimes de fraude au compte CPF a nettement diminué depuis juin après le pic de janvier, explique Jean-Jacques Latour, directeur des compétences cybersécurité au sein de la plateforme.
Les députés étudient un projet de loi visant à interdire toute prospection commerciale aux titulaires d’un compte personnel de formation
Parallèlement à cette mesure technique, les parlementaires étudient un projet de loi visant à interdire toute prospection commerciale des titulaires d’un compte personnel de formation, par téléphone, e-mail ou réseau social. Ce texte, approuvé par l’Assemblée nationale le 7 octobre, prévoit notamment de sanctionner les organismes responsables de ce type de propagande d’une amende pouvant aller jusqu’à 75 000 euros pour une personne physique ou 375 000 euros pour une personne morale. Le texte doit maintenant être validé par le Sénat avant sa promulgation.
D’autres mesures plus générales ont également été prises pour lutter contre les arnaques. A partir de janvier, les organismes souhaitant proposer des formations sur la plateforme Mon compte formation doivent par exemple porter la marque Qualiopi, qui garantit un niveau minimum de qualité des contenus de formation. Au niveau de FranceConnect, la connexion au site des impôts via les identifiants FranceConnect et Ameli a été désactivée en septembre face à une recrudescence des tentatives de fraude. La Caisse des dépôts précise qu’elle utilise également des outils d’intelligence artificielle pour détecter de manière préventive les fraudes et pour effectuer des contrôles auprès des prestataires de formation selon les rapports.
Mise à jour 26 octobre 9h15 : Précision sur la responsabilité de la Poste dans l’accompagnement des usagers.