Assurance maladie : piratage des données de plus de 500.000 assurés !

Nouveau couac pour le service de santé en France ! En octobre 2021, des milliers de dossiers de la Caisse d'allocations familiales avaient été rendus accessibles à d'autres allocataires après un bugbug informatique lors de la mise à jour du système d'identification au site. Cette fois, c'est plus grave puisque l’Assurance maladie a détecté en fin de semaine dernière « que des personnes non autorisées ont réussi à se connecter à des comptes amelipro réservés aux professionnels de santé ».

Par « personnes non autorisées », il faut comprendre des « pirates », et selon les premières constatations, les hackers ont pu se connecter à 19 comptes de professionnels de santé dont les adresses e-mail avaient été compromises. Grâce à des connexions automatisées à un service nommé Infopatient, les escrocs ont eu ensuite accès aux données personnelles de centaines de milliers d'assurés, et on trouve pêle-mêle des informations comme les nom, prénom, date de naissance, sexe, mais aussi le numéro de sécurité sociale, ainsi que des données relatives aux droits. En revanche, les informations de contact (e-mail, adresse, téléphone) et coordonnées bancaires, ainsi que les données relatives aux éventuelles pathologiespathologies et aux prescriptions de soins ne sont pas concernées.

C'est par ce portail, dédié aux professionnels de santé, que les pirates ont accédé aux données d'un demi-million de Français. © Futura, Ameli

Des données revendues sur le dark web

« Les mots de passe volés servent de clé pour déverrouiller des trésors d'informations, rappelle Chris Dickens, ingénieur commercial chez HackerOne. Une fois ces informations divulguées, la question est de savoir où elles vont et qui sera impacté par cette violation de données. Cette situation est particulièrement fréquente dans le secteur de la santé où les informations d'identification des systèmes des patients doivent être distribuées aux professionnels des hôpitaux, des pharmacies, des cabinets de conseil, des universités, etc. »

Selon ce spécialiste, il faut s'attendre à ce que les données récupérées se retrouvent sur le dark web pour y être vendues, de sorte que d'autres cybercriminels sont susceptibles de les acheter et de les exploiter de la même manière. Pour ce type de brèche, il peut y avoir des escroqueries à la carte vitale puisque le numéro de sécurité sociale fait partie des données récupérées.

Les victimes du piratage sont prévenues

De son côté, et dès les premiers signes de l'attaque, l'Assurance maladie a banni les adresses IP qui avaient eu accès aux 19 comptes Amelipro, et elle a réinitialisé les comptes des professionnels de santé touchés. Il s'agit pour eux, essentiellement, de créer un nouveau mot de passe. Par ailleurs, des outils de surveillance sont en place pour détecter d'éventuelles anomaliesanomalies d'identification aux téléservices du portail Amelipro.

Toujours selon l'Assurance maladie, 510.000 assurés sont concernés par cette fuite de données, et ils ont été informés individuellement de cet incident. Dans ce message, la CPAM sensibilise au risque accru de phishingphishing, même si l'adresse e-mail et le numéro de téléphone n'ont pas été piratés. Une sensibilisation qui concerne surtout les professionnels de santé puisque la faille est venue d'Amelipro.