Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Prestataires du tiers payant piratés : la moitié des Français concernés, la CNIL ouvre une enquête

Restons calmes

Prestataires du tiers payant piratés : la moitié des Français concernés, la CNIL ouvre une enquête

Unsplash – Clay Banks

La semaine dernière et cette semaine, Viamedis et Almerys, deux prestataires du tiers payant, ont signalé avoir subi des attaques informatiques menant à des fuites de données. Hier soir, la CNIL a annoncé qu'elle ouvrait une enquête sur ces violations de données et a révélé que plus de 33 millions de personnes étaient concernées.

Le 08 février à 12h27

État civil, la date de naissance, le numéro de sécurité sociale, le nom de leur assureur santé ainsi que les garanties ouvertes au tiers payant, ce sont ces données personnelles de la moitié des français que des pirates ont réussi à récupérer chez les deux prestataires Viamedis (filiale du groupe Malakoff-Médéric-Humanis) et Almerys (filiale du Holding financier Heka Invest). À elle seule, Viamedis gère le tiers payant de 84 complémentaires santé, dont sa maison mère Malakoff-Médéric-Humanis.

Ces opérateurs sont des intermédiaires entre les professionnels de santé et les complémentaires. Ils fournissent le portail qui permet aux médecins, pharmaciens et autres professionnels de santé de savoir s'ils peuvent accorder ou non le tiers payant à un assuré social.

Des comptes de professionnels de santé compromis

C'est par l'accès à ces portails que les attaques ont eu lieu. Les pirates ont réussi à compromettre des comptes de professionnels de santé, semble-t-il. C'est en tout cas ce que les deux entreprises ont expliqué. Et c'est, entre autres, ce que l'enquête de la CNIL devra vérifier.

« Devant l'ampleur de la violation », l'autorité explique que sa présidente, Marie-Laure Denis, qui vient tout juste d'être renouvelée à son poste, « a décidé de mener très rapidement des investigations afin de déterminer notamment si les mesures de sécurité mises en œuvre préalablement à l’incident et en réaction à celui-ci étaient appropriées au regard des obligations du RGPD ». Il serait, par exemple, problématique que ces portails n'utilisent pas de solution de double authentification des personnels de santé.

Dans leurs communications, Viamedis et Almerys ont expliqué chacune avoir coupé l'accès à leurs plateformes de tiers payant pour les professionnels via le système de login/mot de passe. À l'heure d'écriture de cet article, le site de Viamedis continue d'afficher un message expliquant qu'il est « momentanément interrompu » alors que celui d'Almerys est de nouveau accessible. Le reste du système du tiers payant demeure utilisable et les assurés continuent à pouvoir en bénéficier.

Des données utilisables pour crédibiliser des attaques de phishing

Les deux entreprises se sont empressées de préciser une liste des informations qui ne sont pas concernées : « ni information bancaire, ni coordonnée postale, ni numéro de téléphone, ni e-mail ne sont concernés par cet acte malveillant » du côté de Viamedis, « les informations bancaires, les données médicales, les détails de remboursements de santé, les coordonnées postales, les numéros de téléphone et les adresses e-mail ne sont en aucun cas concernés par cette violation », chez Almerys. De son côté, la CNIL met ces informations au conditionnel, en attendant les conclusions de son enquête.

Il en reste que, couplées à d'autres données provenant de fuites antérieures ou de fichiers de prospection, par exemple, celles qui ont été récupérées chez ces prestataires peuvent servir pour rendre encore plus précises des attaques de phishing.

Un numéro de sécurité sociale, identifiant pour de nombreux services

Le numéro de sécurité sociale, qui fait partie des données qui ont fuitées, sert d'identifiant pour de nombreux services publics, comme l'explique le site Ameli, « il vous est demandé à chaque fois que vous vous adressez à votre caisse d'allocations familiales (CAF), à votre caisse de retraite, à France Travail (ex-Pôle emploi), à votre mutuelle (ou complémentaire santé) ou encore à une maison départementale des personnes handicapées (MDPH) ».

Couplé au nom de famille et à la date de naissance (qui font aussi partie de la fuite) et au code postal de résidence, il peut permettre de créer un compte Ameli si celui-ci n'a pas déjà été créé. Il ne suffirait donc aux pirates que d'identifier le code postal d'un assuré qui n'aurait pas de compte Ameli pour pouvoir en créer un.

La personne malveillante pourra, après la création du compte Ameli, créer un compte FranceConnect au nom de l'assuré (encore une fois si celui-ci n'existe pas encore) et se connecter à la myriade de services publics utilisant ce système. Cela dit, 42 millions d'assurés disposant d'un compte Ameli selon l'Assurance Maladie, il reste peu de possibilités de création de compte pour les pirates.

Aux complémentaires de signaler aux assurés

Si la CNIL donne un chiffre de « plus de 33 millions de personnes » touchées alors que les premières communications des entreprises se gardaient bien d'évoquer l'ampleur des fuites, l'autorité indique qu'elle n'est pas en mesure d'indiquer à chaque personne si elle est concernée.

Elle précise qu'il appartient à chacune des complémentaires santé « faisant appel aux prestataires Viamedis et Almerys d’informer individuellement et directement l’ensemble des personnes concernées comme le prévoit notamment le règlement général sur la protection des données (RGPD) ». L'autorité ajoute qu'elle s'assurera que « ce soit fait dans les plus brefs délais ».

Certaines complémentaires ont déjà commencé à informer leurs clients. Malakoff-Humanis a publié sur son site un message qui explique comment ses assurés peuvent savoir s'ils sont concernés, message envoyé aussi à ses assurés. D'autres, comme Generali par exemple, ont aussi envoyé un mailing.

Conseils de prudence

Face à cette fuite gigantesque, la CNIL conseille aux assurés concernés (rappelons qu'il s'agit de la moitié de la population et qu'ils n'ont pas tous encore été contactés par leurs complémentaires) d'être « prudents sur les sollicitations que vous pourrez recevoir, en particulier s’ils concernent des remboursements de frais de santé ».

Elle les pousse aussi à « vérifier périodiquement les activités et mouvements sur vos différents comptes ». Ces conseils classiques et indispensables laissent les assurés bien démunis face à une attaque de si grande ampleur.

Commentaires (113)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Comment des comptes compromis, donc de simples comptes utilisateurs, ont-ils pu permettre de récupérer tant d'informations ?
votre avatar
Excellente remarque, on aurait pu imaginer un rate limiting par praticien. Ça aurait été un minimum. Ainsi qu'une analyse des accès, pour justement prévenir ce genre de situation.
Vu comment c'est présenté, ça laisse supposer d'un laisser aller côté sécurité.
votre avatar
Faudrait aussi voir les exigences qui leur ont été imposés, je ne serais pas étonné que l'appel d'offres n'ait rien inclus de ce côté là :/
votre avatar
Parce qu'un cerveau moderne et ayant des bases de sécurité ne suffit pas ?
votre avatar
Il faut bien comprendre que dans pas mal de boîtes (la plupart en fait), tout le monde s’en fout totalement.

Et c’est même pas de la malveillance ou de l’économie de bouts de chandelles. C’est juste que dans plein d’équipes de dev, le sujet n’existe même pas. Ce qui existe c’est d’atteindre les objectifs du trimestre. Et personne ne va ajouter des tickets pour ajouter une petite couche de secu puisqu’on a déjà raccourci suffisamment les délais pour que seulement le minimum vital soit embarqué. Et puis juste personne n’y pense parce que c’est pas dans la culture tout court.
votre avatar
Je connais bien, je le vois chaque jour :pleure:
Mais c'est pour ça que des gars comme moi, qui gère la sécurité transversalement, doivent parcourir les pâturages rappelant aux brebis comment la sécurité doit s'implémenter by design en 2024.
votre avatar
Tout le monde livre du "juste assez". Pourquoi mettre de l'argent pour quelque chose qui est jamais arrivé ? Oups c'est le cas on va donc le faire, même si c'est trop tard :/
votre avatar
Même si l'appel d'offres n'inclus rien, la loi s'impose lors de la gestion de données personnelles
votre avatar
Probablement que oui, mais les commerciaux et informaticiens qui sont sur ce sujet eux ne sont pas juristes.
Et à ceux qui ressortent le fameux "Nul n'est censé ignorer la loi", je appellerai que la phrase signifie "personne n'est censé faire fi de la loi".

Sinon, les délais, les budgets etc font qu'une revue de sécurité sérieuse n'est que rarement mise en place sur ce genre de projet.
Ne serait-ce que pour le 2FA.

J'imagine que vous êtes déjà allés chez un pharmacien, opticien, etc...
Pour le tiers payant, il vous demande votre carte de mutuelle et 10 secondes plus tard, il lit à l'écran ce à quoi vous avez droit.
Vous avez vu le "professionel de santé" s'authentifier pour faire ça ?
Moi jamais.
Ca me rappelle les ouvertures de sessions avec mot de passe enregistré dans le navigateur..
Probablement par ce qu'il a été relevé qu'il n'était pas question de faire attendre le client pendant les UAT.
Donc, une fois authentifié sur le site, en tapant votre N° de sécu, il récupère les données qui ont été déclarées comme volées.
Le filtrage dont on parlait plus haut ne peut pas s'appliquer puisque n'importe qui est susceptible d'entrer dans la boutique.

Dans ce genre de configuration, suffit que le PC d'un de ces professionnels ait été volé, vendu aux enchères suite à liquidation ou qu'il ait ait balancé/revendu lui même son PC sans faire un nettoyage que le lambda ne sait pas faire, pour que ces identifiants se retrouvent dans la nature.
votre avatar
> J'imagine que vous êtes déjà allés chez un pharmacien, opticien, etc...
Pour le tiers payant, il vous demande votre carte de mutuelle et 10 secondes plus tard, il lit à l'écran ce à quoi vous avez droit.
Vous avez vu le "professionel de santé" s'authentifier pour faire ça ?
Moi jamais.


1) Non, les informations sur la carte papier. La prise en charge des mutuelles en pharmacie se résume à 4 points (médicaments classés selon leur taux de remboursement - 65%, 35% et 15% - et les dispositifs médicaux soumis à la LPP). Pas besoin de s'authentifier pour obtenir ces informations, elles sont sur ta carte mutuelle. Plus d'information sur le Guide de stage des Étudiants en Pharmacie en officine (le stage de 6 mois juste avant d'avoir ton diplôme).
Je suppose que c'est la même chose pour les opticiens.

2) Avec le Ségur du numérique (lancé mai-juin 2023), l'accès aux données de Santé va se faire avec le 2FA. Qui s'appellera ici Pro Santé Connect. Les Caisses (CPAM, MSA) s'y sont déjà mis en octobre en mettant à jour le portail Ameli Pro. Pour les mutuelles, ce sont des organismes souvent de droits privé et malgré l'argent qu'elles brassent, j'ai des doutes sur leur efficacité.

3) Ces obligations s'étendent aux sites web hébergeants des données de santé mais aussi logiciels métiers connectés à la toile ou pas.
C'est l'occassion de se réaligner sur le RGPD: chaque utilisateur à couple identifiant/mot de passe qu'il lance au début de sa session de travail. il y a une jouranlisation des accès.
À chaque fois que je fais une délivrance, je dois m'identifier (par contre sécurité perfectible car un Mdp de 16 caractères, ...).
Quand je me connecte à un Dossier Médical Partagé (DMP), le patient reçoit une notification des documents que j'ai consultés. Il peut lire les journaux de connexions à son DMP.
votre avatar
admin:admin
votre avatar
Justement non, il s'agit d'accès légitimes de praticiens qui ont été volés et utilisés pour sortir les données.
votre avatar
ce qui me désole, c'est qu'ils n'aient mis aucun garde-fou, comme des limites en nombre d'accès aux dossiers clients par minute...
je connaît pas beaucoup de médecins qui doivent accéder à plus de 1 dossier client par seconde, voir par minute...
votre avatar
C'est pourtant simple, comme dans tout projet on livre le minimum pour répondre au besoin. Malheureusement c'est souvent les pannes ou les incidents de sécurité qui font évoluer les systèmes, car on prend conscience des oublis ou alors on priorise ce qui avait été délibérément mis de côté.
Demande à ceux qui font des solutions DLP (Data Loss Prevention) si c'est facile de convaincre les clients :)
votre avatar
ça me désole, la sécurité devient un enjeu une fois que t'es piraté :mad:
votre avatar
Le monde n'est pas vraiment reconnu pour sa capacité d'anticipation, et c'est terriblement dommage. L'histoire ne cesse de se répéter.

Il y a aussi quelques fois où les choses sont bien faites quand même, ne soyons pas que pessimiste.
votre avatar
Vive l'utilisation obligatoire d'un identifiant impossible à modifier...
votre avatar
Oui, ces question avaient déjà été soulevées lors des fuites massives de données liées aux tests Covid (mes données étaient liées aux tests, pas les fuites, hein :D), dont le numéro INSEE...
votre avatar
ah, le numéro INSEE, une grande réussite de l'administration selon les standards du RGPD :
- un numéro dont on a aucun process pour le révoquer à grande échelle
- un numéro qui trahit plein d'infos RGPD sur toi rien qu'en le lisant.

Je veux bien qu'à l'époque où il a été inventé on ne seouciait guère de ça, mais bon ça serait peut-être le moment de passer à un autre format
votre avatar
C'est les enfants surtout qui ont un risque, puisque peu de personnes vont penser à leur créer un compte AMELI...
votre avatar
Les enfants n'ont un numéro INSEE qui leur est attribué qu'à leur majorité. Avant ça, ils vont être rattachés au numéro INSEE de l'assuré, en tant qu'ayant-droit (le numéro INSEE existe probablement dans les bases de l'INSEE, mais n'est connu de personne tant qu'il n'est pas transmis à l'ayant-droit majeur autonome).
Le problème va plutôt toucher les jeunes majeurs qui n'ont pas pris le temps de créer leur compte AMELI, et les personnes âgées qui ne l'ont jamais fait et qui n'ont pas forcément de compte FranceConnect (même si, pour ce dernier point, la généralisation forcée de la gestion des impôts et taxes en ligne va limiter de fait un peu la casse).
votre avatar
Ce n'est pas tout à fait vrai : j'ai déjà le n° INSEE de mes enfants indiqués du côté de ma mutuelle. Il n'est peut-être pas utilisé avant la majorité, mais il est connu : de toutes façons, le n° est assez simple à retrouver, le seul "aléa" est la fin qui semble être le "rang" parmi le nombre de naissance qu'il y a (ou qui ont été déclarés) le mois dans la commune de naissance. (https://fr.wikipedia.org/wiki/Num%C3%A9ro_de_s%C3%A9curit%C3%A9_sociale_en_France#Signification_des_chiffres_du_NIR).
Il est donc connu ; utilisé (par qui, comment), je ne sais pas.
votre avatar
On ne parle pas plutôt de NIR ? Première fois que j'entends parler de numéro INSEE pour les personnes physiques
votre avatar
Numéro INSEE et NIR sont normalement identiques.
L'INSEE inscrit les naissances dans son RNIPP, et attribut le numéro NIR.
La sécu sociale dispose du SNGI (système National de Gestion des Individus).
Le RNIPP et le SNGI sont synchronisés.
Donc, normalement c'est le même numéro.

Il y a des cas limites, lors des inscriptions à la sécu ou des transferts d'un organisme de sécu à un autre, avec des NIR temporaires du côté des organismes de Sécurité sociale.
votre avatar
Pour le coup, comme @bechamel, j'ai aussi pu récupérer le numéro de sécurité sociale de mon enfant via mon compte AMELI, en éditant une attestation de droits.
Par contre, je n'ai pas réussi à lui créer un compte. Je penses que ce n'est pas possible avant ses 18 ans.
Par contre, j'espère que AMELI va améliorer la sécurité de la création d'un compte en le conditionnant à la fourniture d'un code de passe, parce qu'aujourd'hui les pirates n'ont qu'à faire tourner un script qui va attendre le jour des 18 ans de la personne pour créer son compte automatiquement avec ses informations volées...
Je crois me rappeler que France Connect avait exclue AMELI pendant un temps, j'espère que ça va se reproduire pour protéger les usagers...
votre avatar
Les Enfants ont un N° INSEE/NIR
Un numéro de sécu est complété d'une clé à 2 chiffres.
J'utilisais le N° INSEE pour les inscriptions aux exams, mais le N° de sécu (avec sa clé) je ne l'ai eu que quand j'ai commencé à cotiser à la SS et APRES avoir passé ma majorité.

De mémoire, c'est le N° de sécu (avec la clé) qu'il faut taper sur Ameli/France Connect
Probablement la raison en plus du fait que tant qu'on est mineur, on est censé être rattaché au N° de sécu du parent.

Peut être aussi pourquoi France Connect était envisagé pour filtrer l'accès aux sites porno vu qu'on ne peut créer un compte que quand on est majeur.
votre avatar
Je suis impacté.
La com de la mutuelle était très moyenne, minimisant l'incident.
Je leur ai écris, 0 réponse

Les numéro de sécu dans la nature, le risque d'usurpation d'identité .....
votre avatar
Le numéro de sécu est un idenfiant. Comme la plaque d'immatriculation, l'emprunte digitale etc.

En aucun cas, ce ne sont des moyens d'authentification. Le problème de sécurité, ce sont les services qui utilisent ces identifiants sans avoir de moyen d'authentification.
votre avatar
une fausse carte vitale avec ton numéro de secu + nom + prénom
ca s'appel de l'usurpation
votre avatar
Ah, une empreinte digitale n'est pas un moyen d'authentification ? Ca sort d'où ? Va faloir en parler à tous les constructeurs d'appareils mobiles, genre Apple, Samsung, ...
votre avatar
Il a pourtant raison.
C'est connu depuis 2013. Il me semble que PC INpact avait parlé de ce cas à l'époque.
Là, c'est juste le capteur qui est mauvais.
Encore un exemple.

Et je ne parle pas du cas plus traumatisant où on te coupe un doigt ou la main comme dans La Tour Montparnasse infernale.
votre avatar
au moins ta mutuelle t'a fait une communication...
j'attends encore d'être contacté par la mienne (april -> viamedis)
votre avatar
"Ces opérateurs sont des intermédiaires entre les professionnels de santé et les complémentaires. Ils fournissent le portail qui permet aux médecins, pharmaciens et autres professionnels de santé de savoir s'ils peuvent accorder ou non le tiers payant à un assuré social."

À la base non, ce sont des collecteurs techniques qui répartissent ensuite les factures des FSE à chaque mutuelle. Au lieu d'avoir une multitude de comptes, les professionnels de santé n'en ont que quelques un.

Cela sert à envoyer les factures depuis les professionnels de santé et leur font redescendre les retours NOÉMIE (acceptation du paiement, dans le cas du tiers-payant; refus, inconnu de la complémentaire, etc …)

Ensuite certaines permettent de savoir si les droits sont à jours ou pas. Mais ce n'est pas une fonction de base dans le système SESAM-VITALE.
votre avatar
Bizarre, les 2 prestataires en pas longtemps, ça sent l'attaque bien planifié
votre avatar
Ou c'est que les professionnels de santé compromis avaient des comptes chez les 2 prestataires avec le même mot de passe va savoir !!!
votre avatar
Il aurait donc ouvert deux fois Vidéo_de_chatons.PDF ? :D
votre avatar
Non une seule suffit :francais: ensuite les pirates ont testé le couple Login/Pass sur les autres services :eeek2:
votre avatar
Mince, c'était pas une part de pizza ?!? 🍕
votre avatar
Je pense que ces 2 fuites de données montre l'urgence de revoir entièrement le système de santé basé sur un numéro unique à vie et tous les systèmes comme FranceConnect qui l'utilisent.

Il me tarde de lire le rapport de la CNIL et surtout les recommandations qui vont en découler.

Quand on sait que les personnes touchées par l'usurpation d'identité sont dans une impasse ces fuites sont critiques, en complet décalage de la communication de Viamedis et Almerys.
votre avatar
"la moitié des français concernés"
la moitié des français consternés surtout. ^^
votre avatar
L'article parle de "créer un compte FranceConnect", ce n'est pas correct. Il n'existe pas de compte chez FranceConnect, c'est un intermédiaire qui permet d'utiliser un compte existant chez un de leurs partenaires fournisseur d'identité (dont impots.gouv.fr ou ameli.fr) pour s'authentifier chez un autre de leurs partenaires demandeur d'identité. FranceConnect conserve ensuite les données transmises tant que la session reste valide pour pouvoir refournir au besoin le jeton d'accès (quelques heures maxi), et ensuite ne garde plus rien.

Ou alors vous parlez de FranceConnect Plus, et encore même là, j'ai l'impression que c'est pareil sauf que le seul fournisseur d'identité supporté est La Poste Identité Numérique (mais j'ai encore jamais utilisé).

Bon moi j'ai pas de compte ameli.fr parce que je vois pas l'intérêt, je vais peut-être leur demander de supprimer ce qu'ils ont sur moi au cas où. Ou alors demander des resets d'identifiants suivant les methodes proposées. En tout cas rien à faire côté FranceConnect, c'est à la source ameli.fr qu'il faut s'attaquer.
votre avatar
Bon moi j'ai pas de compte ameli.fr parce que je vois pas l'intérêt, je vais peut-être leur demander de supprimer ce qu'ils ont sur moi au cas où
Je n'ai pas de compte ameli.fr non plus, mais j'aurai été plutôt tenté d'en créer un tout de suite.
J'ai loupé quelque chose ?
votre avatar
Ben si j'avais pas l'utilité d'en créer un avant, j'en ai toujours pas l'utilité maintenant. Donc je ne me sens toujours pas tenté.
votre avatar
Le compte AMELI te permet de sortir des informations personnelles, de faire des papiers pouvant être demandé dans certains cas pour justifier de ton identité.

Personnellement je créerais bien un compte histoire d'avoir la main sur l'identification et d'avoir les mails d'activité de connexion du compte...
votre avatar
Je n'ai pas souvenir d'avoir eu besoin de ces papiers, où alors ça date d'avant l'existence des comptes AMELI. Au besoin je serai toujours à temps de le créer. Je suis censé créer un compte si je veux l'utiliser, pas pour occuper l'espace, c'est une relativement drôle d'idée qui potentiellement me forcerait à créer des comptes sur tous les services administratifs existants, ne sachant jamais à l'avance ce qu'il est possible d'y faire.
votre avatar
Bien ce sont quand même des services "gouvernementaux" et là je découvre en lisant que certaines personnes n'ont jamais fait un compte sur ces services.

Je n'ai, moi même, sûrement pas crée de compte sur tous les services existant mais AMELI, pour gérer ses arrêts de travail, vérifier la bonne mise en place du Tiers Payant et sortir des papiers de garantie de couverture je pense que c'est indispensable. Mais je vois que pour certains, non. Alors "tant mieux".

Mais là c'est pour prévenir d'une possible usurpation d'identité et comme souligné la possibilité après d'utiliser les identifiants AMELI pour se connecter sur tous les autres services permettant d'utiliser "FranceConnect".
votre avatar
Je n'ai eu aucun des besoins que tu cites, on n'a pas tous la même santé ni le même parcours. Je ne vois pas en quoi c'est choquant, certains ont sans doute des comptes sur d'autres services qui leurs sont indispensables alors que tu n'en as pas. Et si je veux activement prévenir l'usurpation ce n'est pas le seul moyen de faire.
votre avatar
À mon avis, que tu aies un compte ameli.fr ou non, l'assurance maladie aura créé un compte pour tes données (paiements, remboursements, etc).
Le compte ameli.fr servira pour toi d'y avoir accès, à tes données — le fait de ne pas avoir de compte ameli.fr semble aggraver le problème, c.-à-d. qu'on puisse le créer à ton insu…
votre avatar
Ce serait quand-même bien la première fois que ne pas créer un compte quelque part pourrait constituer un risque de sécurité.

Et les remboursements, je dois en avoir 2 par an à tout péter, je ne ressens pas le besoin de pouvoir les consulter ailleurs que sur mon compte bancaire.
votre avatar
votre avatar
Comme dit dans l'article :
«Couplé au nom de famille et à la date de naissance (qui font aussi partie de la fuite) et au code postal de résidence, il peut permettre de créer un compte Ameli si celui-ci n’a pas déjà été créé. Il ne suffirait donc aux pirates que d’identifier le code postal d’un assuré qui n’aurait pas de compte Ameli pour pouvoir en créer un. »

Donc, pour éviter que son compte Ameli ne soit créé par quelqu'un d'autre que toi, autant le créer de ton propre chef. De plus, un compte Ameli permet bien plus que visualiser paiements et remboursements.
votre avatar
J'ai bien lu ça, si j'ai employé le conditionnel c'est parce que déjà il est employé dans le passage cité, et ensuite le code postal n'est apparemment pas concerné par la fuite, donc qu'il faut le trouver d'une autre manière, et ce de manière automatisable vu la quantité.

Et puis, si on va par là, on peut trouver des tonnes de services, gouvernementaux ou non, où on pourrait usurper une identité. On ne va pas créer des comptes partout pour éviter ça (enfin moi je ne le ferai pas). Si c'est FranceConnect qui pose le plus problème, je peux juste désactiver ameli.fr de la liste pour mon profil.

Sinon, le "bien plus" ne m'a pas plus manqué que le reste.
votre avatar
Ameli est un fournisseur d'identité FranceConnect.
Quand tu as un compte valide sur Ameli, il est aussi utlisable dans un login FranceConnect avec le fournisseur d'identité Ameli.
Et si tu viens de le créer à l'instant, comme dans l'article, même une protection comme un second facteur ne suffit pas.

Par contre, l'article semble oublier qu'il faut le RIB de l'assuré pour créer un compte Ameli. Et celui-ci n'est pas concerné par cette fuite.
votre avatar
Faut-il le RIB de l'assuré ou un RIB ?
votre avatar
Le RIB de l'assuré.
D'après https://www.ameli.fr/tarn-et-garonne/assure/adresses-et-contacts/votre-compte-ameli/creer-votre-compte-ameli
Il faut "préparez votre RIB (celui déjà transmis à votre caisse d'assurance maladie) et votre carte Vitale"
Le numéro de série de la carte sera vérifié.
votre avatar
Un RIB, car d'après leur robot, si tu es mineur, tu donneras le RIB de tes parents. Sauf qu'apparemment il faut avoir 18 ans pour créer un compte AMELI... Bref, à mon avis, tu traficotes les noms sur l'IBAN et Hop !

J'ai l'impression que Inodemus n'a pas bien compris le fonctionnement de France Connect et ses avantages/dangers.
À sa place, je me créerait vite un compte pour avoir la maîtrise du compte, comme indiqué par d'autres plus haut.
On peut faire pas mal de choses avec un compte France Connect...
Bon, apparemment, c'est bloqué pour les impôts actuellement. ^^ Mais pas service-public.fr ni, surtout, l'ANTS...
votre avatar
J'ai parfaitement bien compris l'usage de FranceConnect, je ne sais pas ce qui te fait penser ça. J'ai même écrit en #11 comment il fonctionne et pourquoi dire "pourra créer un compte FranceConnect (s'il n'existe pas encore)" n'a pas de sens. Je développe un site partenaire avec eux donc je sais plutôt bien comment ça marche. Au niveau perso j'ai bloqué les fournisseurs d'identité autres que celui que j'utilise habituellement, donc pas de problème futur entre un éventuel compte ameli.fr et FranceConnect.

Pour ce qui est du reste et du compte ameli.fr lui-même, j'ai déjà suffisamment exposé mon point de vue, recherchez dans mes commentaires. En plus vous (et l'article) occultez des informations importantes, outre déjà le code postal cité qui ne fait pas partie de la fuite, il faut aussi apparemment un bout de l'IBAN qui sert aux remboursements et un bout du numéro de carte Vitale, qui ne font pas partie de la fuite et sont autrement plus compliqués à déterminer en masse qu'un code postal. C'est donc loin d'être juste lancer un script pour se retrouver avec 10 millions de comptes usurpés à disposition dans 1h.
votre avatar
Merci pour la précision. Pour l'IBAN, je vois mal où ils auraient eu l'IBAN dans un premier lieu, pour faire la comparaison : je croyais donc que c'était une information demandée pour les besoins du fonctionnement du compte, pas pour la vérification.

Concernant le code postal, on peut facilement tester les principaux codes postaux liés au numéro de sécurité sociale, le trouver par un autre moyen via des sources ouvertes, ou tester des codes postaux à fortes probabilités comme ceux de Paris, Marseille, Lyon...

Ce qui me faisait penser que vous n'aviez pas compris le fonctionnement de FC était que vous indiquiez ne pas comprendre l'intérêt de créer un compte AMELI alors que plusieurs personnes ont indiqué que c'était pour "bloquer" le squattage par un hacker. Et ne sachant pas que vous aviez bloqué les autres fournisseurs que votre habituel, votre réponse semblait un peu hors sujet.
Le truc, c'est que d'autres que vous pourraient être moins au courant que vous au sujet de France Connect et suivre votre exemple de ne pas créer de compte AMELI, sans pour autant penser à bloquer ce fournisseur du côté de France Connect (car il faut connaître cette possibilité, déjà).

En tous cas, désolé pour la confusion.
votre avatar
Pour l'IBAN, je ne sais plus comment je l'ai donné dans un premier lieu, ça fait longtemps, mais ils en ont bien un pour me rembourser. A l'inscription il est demandé d'en saisir la fin, le début étant affiché. Même chose pour le numéro de carte Vitale.

Le code postal me paraît difficilement trouvable de manière automatique (et avec les méthodes que tu as énoncées je suis tranquille pour longtemps), mais bon admettons, ce n'est jamais qu'une seule des 3 infos supplémentaires potentiellement demandées. C'est un gros raccourci que de dire qu'on peut créer des comptes facilement avec le contenu de la fuite, raison pour laquelle je n'y vois pas autant de risque que d'autres.
votre avatar
OK, je ne savais pas pour l'IBAN ou la Carte Vitale.
C'est effectivement beaucoup plus compliqué dans ce contexte.

Le code postal, c'est certes pas trivial, mais ça se brute-force relativement facilement, vu qu'il y a moins de 40 000 codes postaux.
Bon, la discrétion serait pas là, mais c'est facile à tester au moins.
votre avatar
Quelle honte. J’espère que 1. Les sanctions seront appropriées au regard de ce qui semble être une négligence manifeste de données très personnelles 2. Les mesures seront à la hauteur de ce fiasco…
On sait s’il y aura une plainte groupée des usagers (nous) ? Je m’y associerais bien tient.
votre avatar
Le RGPD permet les actions de groupe. Un dossier commun, plus de facilité et de poids dans la procédure.
votre avatar
Le numéro de sécurité sociale, qui fait partie des données qui ont fuitées, sert d’identifiant pour de nombreux services publics, comme l’explique le site Ameli, « il vous est demandé à chaque fois que vous vous adressez à votre caisse d’allocations familiales (CAF), à votre caisse de retraite, à France Travail (ex-Pôle emploi), à votre mutuelle (ou complémentaire santé) ou encore à une maison départementale des personnes handicapées (MDPH) ».
Merci aux services de l'État qui impose de s'identifier avec le numéro de sécurité sociale (ou pire, France Connect), comme lassuranceretraite.fr ou ameli.fr :cartonrouge:
votre avatar
A priori une transition de genre permet de changer son identifiant Ameli (mais c'est très long et compliqué).
Et sinon, :chinois: pour l'illustration et le sous-titre de l'article.
votre avatar
Pourquoi FranceConnect est une mauvaise chose selon toi ?
votre avatar
Surtout qu'aucun des 2 sites cités n'obligent à l'utiliser.
votre avatar
Parce que tu utilises les identifiants de X pour te connecter à Y.
Et ton compte X (ou Y) est compromis, l'autre l'est aussi.

Par exemple, je vais sur impots.gouv.fr > s'identifier avec France Connect > Ameli.fr > "Je me connecte avec mon compte ameli"
Avec la fuite Viamedia / Almerys, le numéro de sécurité sociale a fuité (voir l'actu) donc ton identifiant aux impôts aussi.
votre avatar
Rendez-vous sur https://tableaudebord.franceconnect.gouv.fr/, et bloquez l'autorisation pour Ameli.
votre avatar
En fait le mieux est de ne pas l'utiliser :transpi:
Mais je crains qu'un jour cela devienne obligatoire pour accéder à ce services...
votre avatar
Pour moi FranceConnect a une valeur ajoutée, je trouverais regrettable de l'abandonner.

Et FranceConnect+ devient nécessaire sur certains services, comme par exemple la signature numérique des procédures du guichet unique sur le site de l'INPI. Il facilite cette étape, même si elle peut toujours être réalisée manuellement par un autre moyen (que je n'ai pas testé pour le coup, ayant préféré celle de FranceConnect+).

En fait, ce qui lui manque, c'est un MFA pour ajouter une petite couche de sûreté. Mais on tombe dans le difficile équilibre de sécurité versus expérience utilisateur (tout le monde n'a pas de smartphone, compétence des personnes, etc).

Par contre, à ce jour et au vu de son fonctionnement, il est difficile de le rendre obligatoire puisque l'identité est celle d'un service de l'administration en ligne. Pour le rendre obligatoire à 100%, il faudrait un IDP unifié (et donc un SPOF de la mort au vu de sa criticité) pour tous les services de l'Etat français. Techniquement faisable, mais côté orga, au vu de la complexité de la gestion de l'IT dans l'administration, j'y crois pas.
votre avatar
Mes souvenirs me rappellent que les démarches administratives doivent toujours avoir un pendant physique pour l'accessibilité des plus modestes, donc c'est pas possible que ce soit obligatoire et l'unique manière de faire.
votre avatar
Le MFA (et une identification initiale plus costaud) c'est FranceConnect+ et donc LaPoste
Mais sinon, tous les autres fournisseurs d'identité ont un petit MFA (au moins par mail).
votre avatar
Ce n'est pas parce que tu ne l'utilises pas que quelqu'un d'autre ne peut pas l'utiliser pour se faire passer pour toi.

Et il n'est pas obligatoire pour certaines démarches sur ants.gouv.fr ? C'était le cas à un moment, mais ça a pu changer.
votre avatar
Ça se tient en partie.

Ils devraient ajouter la double authentification effectivement, au moins la vérification par SMS bien que ce ne soit pas infaillible.
votre avatar
OK ton identifiant utilisateur est compromis, pas le mot de passe, qui lui, n'a pas fuité.
Sauf si on utilise le même mot de passe pour tout, ce qui est déconseillé depuis des années par à peu près tout ce qui parle d'informatique et de sécurité.
votre avatar
Il n'y a pas besoin d'avoir le mot de passe pour lancer une campagne de phishing. Avoir l'identifiant et l'e-mail (à 90% [email protected]), c'est justement l'idéal pour lancer la campagne et récupérer les accès complets.
votre avatar
J'ai reçu un mail de Vivinter pour ma part...
votre avatar
"il vous est demandé à chaque fois que vous vous adressez...à France Travail (ex-Pôle emploi)"
Pas forcément, je peux toujours m'y authentifier avec mon identifiant ANPE.
votre avatar
j'ai encore mon document ANPE, et vu la gueule du mot de passe (6 chiffres seulement, à l'époque), ça fonctionnera sûrement pas...
votre avatar
"il peut permettre de créer un compte Ameli si celui-ci n’a pas déjà été créé...La personne malveillante pourra, après la création du compte Ameli, créer un compte FranceConnect au nom de l’assuré (encore une fois si celui-ci n’existe pas encore) et se connecter à la myriade de services publics utilisant ce système."
Bon, je peux m'attendre à des ennuis prochainement.
Quel système de merde.
votre avatar
J'ai vu dans une vidéo sur leur site que pour créer un compte Améli, si on a une carte vitale avec photo et un numéro au dos, il faut saisir ce numéro. C'est une bonne protection. Sinon, il faut cliquer pour dire qu'on n'a pas ce numéro, mais la suite n'est pas dans la vidéo.

Il me semble que quand j'ai créé mon compte il y a très longtemps, j'ai reçu un mot de passe par courrier papier, ce qui est aussi une sécurité.
votre avatar
Pas de photo sur la mienne, et le numéro derrière est devenu difficile à lire.
votre avatar
Il faut le RIB aujourd'hui.
Le numéro de série de la Carte Vitale (objet que tu donnes à de nombreuses personnes) n'est plus considéré fiable.
https://www.ameli.fr/tarn-et-garonne/assure/adresses-et-contacts/votre-compte-ameli/creer-votre-compte-ameli
votre avatar
Apparemment, ma mutuelle d'entreprise fait l'autruche par rapport à cette fuite. Aucun contact de leur part, aucune mention de la fuite sur le site web...
Je trouve que c'est inadmissible vu l'ampleur et la gravité de la fuite de données.
votre avatar
Elle n'est peut-être pas concernée.
votre avatar
C'est une mutuelle qui passe par Viamedis, donc concernée.
Et ce matin, j'ai enfin reçu un mail d'information à ce sujet.
votre avatar
Ce sont les prestataires Viamedis et Almerys qui sont victimes seulement.
votre avatar
Les autres prestas ont visiblement coupé leurs services, exemple oxantis (utilisé par harmonie mutuelle).

Il y a des chances que dans pas longtemps on ait l’info qu’en fait 100% des personnes sont concernées par la fuite…

Les pratiques informatiques dans le milieu médical (mutuelles, opticiens & co compris) sont juste à chier.
votre avatar
Je suis chez Filhet-Allard et on a reçu un mail indiquant qu'ils ne sont pas impacter par cette fuite.
votre avatar
Par cette fuite probablement, mais qui sait s'ils ne sont pas concernés par une autre fuite… bref, la CNIL a du pain sur la planche !
votre avatar
Peut être par la prochaine fuite. :transpi:
votre avatar
Normalement, si votre mutuelle passe par l'un de ces prestataires, c'est mentionné sur la carte de tiers payant
votre avatar
Moi qui fonctionne avec un alias unique pour chaque site, ça va être difficile de changer de numéro de sécu :D
Blague à part, la connexion à France Connect via Ameli est indisponible depuis... longtemps ? fin 2022 ?
votre avatar
Ah ben tant mieux alors, il n'y aura pas d'usurpation grâce à FranceConnect.
votre avatar
Ameli est de nouveau un fournisseur d'identité, ils ont ajouté un MFA par mail.
votre avatar
En effet, par contre toujours indisponible sur le site des impôts.
votre avatar
Si la cnil s'en occupe alors tout va bien, le dossier devrait être classé avec un rappel à la loi dans 20 minutes.
votre avatar
En résumé, tous les français ayant une mutuelle... Bravo, niveau epic fail c'est balèze! Et la CNIL qui se branle dans les coins pour mieux arroser les murs.
Ce cirque autour de la sécurité qui bouche les trous de souris en laissant les gouffres de Padirac ouverts à la visite....
votre avatar
Parce que pour vous la CNIL est responsable ?
votre avatar
Avec l’état civil et le numéro de sécurité sociale, en plus de pouvoir créer un AMELI et utiliser FranceConnect, l’usurpateur peut se rendre à la mairie de naissance, demander un acte, solliciter et annuler une carte d’identité, contracter un crédit ou ouvrir un compte en banque…

En somme, ce n’est pas à prendre à la légère, et personnellement, cela m’angoisse de voir ces données circuler librement. Qui sait, dans 5 ans, 10 ans, 20 ans, une usurpation pourrait survenir. Le fait que même l’état civil des enfants affiliés soit accessible laisse songeur, et il est extrêmement révoltant de savoir que si une usurpation se produit, la victime sera seule pour tenter de corriger la situation.

Lorsque l’on constate que les gouvernements souhaitent mettre en place une identité numérique pour mieux surveiller les citoyens, cela constitue la preuve que c’est la pire chose à faire.

Personnellement, j’essaie de sécuriser au maximum mes comptes et mes données, car je prends cela très au sérieux. Mais que faire lorsque les organismes d’État sont complètement dépassés ?
votre avatar
https://www.vivinter.fr/wp-content/uploads/2024/02/Communication-faille-donnees-Vivinter-07022024-1.pdf
votre avatar
PERSONNES CONCERNÉES PAR LA FAILLE

Tous les assurés ne sont pas touchés au regard du mode opératoire de l’attaque sur les opérateurs de tiers payant.
Une information individuelle sera réalisée par VIVINTER à partir du 12 février, via une information disponible sur l'espace assuré ou sur simple appel auprès du centre de relation client.
votre avatar
Une information individuelle sera réalisée par VIVINTER à partir du 12 février, via une information disponible sur l'espace assuré ou sur simple appel auprès du centre de relation client.
Je les trouve légers sur 2 points :
Le délai de communication vers les assurés. Cela ne me semble pas conforme aux meilleurs délais demandés par l'article 34 du RGPD. On peut comprendre que ça soit un peu plus long que prévenir la CNIL, mais la seconde fuite est connue au moins depuis le 6/02. Ne communiquer que le 12/02 me semble tardif.

Second point : une information sur l'espace assuré n'est pas un moyen convenable puisque certains assurés peuvent aller rarement dans cet espace. Il faut au moins un message envoyé par mail ou SMS annonçant le problème et revoyant vers cet espace . Quant à la communication si on les appelle, je préfère ne rien en dire, je deviendrais discourtois !
votre avatar
Je n'ai pas précisé, mais j'ai eu un mail en début de semaine. Mais le mail est générique pour 100% des abonnés.
votre avatar
OK, ça change tout dans ce cas.
votre avatar
Il y a moyen de savoir si l’on est concerné ?

Ma mutuelle qui utilise bien Viamedis s’est empressée d’envoyer un mail pour communiquer que ses clients n’étaient pas concernés et ça me semble très louche comme communication.
votre avatar
ça sent la gestion de crise à l'emporte-pièce tout ça ! j'aimerais savoir comment ils peuvent être aussi sûrs que vous et ses adhérents n'êtes pas concernés...
votre avatar
Il faut qu'ils donnent des preuves de cela.

Le probleme est que pour l'instant les assurés doivent faire des demandent a Viamedis de facon individuel et qu'ils ne sont deja pas capable de repondre.

L'application de RGPD est clairement pas faire en tout cas, de plus a ce niveau ce n'est pas aux assurés de faire les demarches necessaire.
votre avatar
#22.1
votre avatar
Il est possible de porter plainte : cybermalveillance.gouv.fr République Française
votre avatar
Pour les victimes, porter plainte en ligne, ça apportera quoi concrètement ?
Genre un somme forfaitaire que le coupable devra reverser, ou une protection en cas de problème futur en cas de phishing à cause des infos dévoilées ?
votre avatar
J'imagine qu'il faudra quand meme le faire ne serait ce que pour commencer la longue lutte pour la tentative de reprise de l'identité. Mais vu que rien ne peut etre fait pour proteger la victime, rien n'indique qu'il n'y a pas plusieurs groupes de personnes qui vont pendant des années essayer d'usurper l'identité.

Une solution durable serait de modifier les numeros de SS. Autant dire que ce ne sera pas fait.
votre avatar
Il faudra aussi voir la sécurisation de l'accès. Le 2FA était-il en place ?
Vu les négligences probables, les clients ne pourraient-ils pas porter plainte pour négligence ?
J'ai l'impression que seule une grosse amende/peine pour ce motif ferait bouger les choess.

Prestataires du tiers payant piratés : la moitié des Français concernés, la CNIL ouvre une enquête

  • Des comptes de professionnels de santé compromis

  • Des données utilisables pour crédibiliser des attaques de phishing

  • Un numéro de sécurité sociale, identifiant pour de nombreux services

  • Aux complémentaires de signaler aux assurés

  • Conseils de prudence

Fermer