La semaine dernière et cette semaine, Viamedis et Almerys, deux prestataires du tiers payant, ont signalé avoir subi des attaques informatiques menant à des fuites de données. Hier soir, la CNIL a annoncé qu'elle ouvrait une enquête sur ces violations de données et a révélé que plus de 33 millions de personnes étaient concernées.
État civil, la date de naissance, le numéro de sécurité sociale, le nom de leur assureur santé ainsi que les garanties ouvertes au tiers payant, ce sont ces données personnelles de la moitié des français que des pirates ont réussi à récupérer chez les deux prestataires Viamedis (filiale du groupe Malakoff-Médéric-Humanis) et Almerys (filiale du Holding financier Heka Invest). À elle seule, Viamedis gère le tiers payant de 84 complémentaires santé, dont sa maison mère Malakoff-Médéric-Humanis.
Ces opérateurs sont des intermédiaires entre les professionnels de santé et les complémentaires. Ils fournissent le portail qui permet aux médecins, pharmaciens et autres professionnels de santé de savoir s'ils peuvent accorder ou non le tiers payant à un assuré social.
Des comptes de professionnels de santé compromis
C'est par l'accès à ces portails que les attaques ont eu lieu. Les pirates ont réussi à compromettre des comptes de professionnels de santé, semble-t-il. C'est en tout cas ce que les deux entreprises ont expliqué. Et c'est, entre autres, ce que l'enquête de la CNIL devra vérifier.
« Devant l'ampleur de la violation », l'autorité explique que sa présidente, Marie-Laure Denis, qui vient tout juste d'être renouvelée à son poste, « a décidé de mener très rapidement des investigations afin de déterminer notamment si les mesures de sécurité mises en œuvre préalablement à l’incident et en réaction à celui-ci étaient appropriées au regard des obligations du RGPD ». Il serait, par exemple, problématique que ces portails n'utilisent pas de solution de double authentification des personnels de santé.
Dans leurs communications, Viamedis et Almerys ont expliqué chacune avoir coupé l'accès à leurs plateformes de tiers payant pour les professionnels via le système de login/mot de passe. À l'heure d'écriture de cet article, le site de Viamedis continue d'afficher un message expliquant qu'il est « momentanément interrompu » alors que celui d'Almerys est de nouveau accessible. Le reste du système du tiers payant demeure utilisable et les assurés continuent à pouvoir en bénéficier.
Des données utilisables pour crédibiliser des attaques de phishing
Les deux entreprises se sont empressées de préciser une liste des informations qui ne sont pas concernées : « ni information bancaire, ni coordonnée postale, ni numéro de téléphone, ni e-mail ne sont concernés par cet acte malveillant » du côté de Viamedis, « les informations bancaires, les données médicales, les détails de remboursements de santé, les coordonnées postales, les numéros de téléphone et les adresses e-mail ne sont en aucun cas concernés par cette violation », chez Almerys. De son côté, la CNIL met ces informations au conditionnel, en attendant les conclusions de son enquête.
Il en reste que, couplées à d'autres données provenant de fuites antérieures ou de fichiers de prospection, par exemple, celles qui ont été récupérées chez ces prestataires peuvent servir pour rendre encore plus précises des attaques de phishing.
Un numéro de sécurité sociale, identifiant pour de nombreux services
Le numéro de sécurité sociale, qui fait partie des données qui ont fuitées, sert d'identifiant pour de nombreux services publics, comme l'explique le site Ameli, « il vous est demandé à chaque fois que vous vous adressez à votre caisse d'allocations familiales (CAF), à votre caisse de retraite, à France Travail (ex-Pôle emploi), à votre mutuelle (ou complémentaire santé) ou encore à une maison départementale des personnes handicapées (MDPH) ».
Couplé au nom de famille et à la date de naissance (qui font aussi partie de la fuite) et au code postal de résidence, il peut permettre de créer un compte Ameli si celui-ci n'a pas déjà été créé. Il ne suffirait donc aux pirates que d'identifier le code postal d'un assuré qui n'aurait pas de compte Ameli pour pouvoir en créer un.
La personne malveillante pourra, après la création du compte Ameli, créer un compte FranceConnect au nom de l'assuré (encore une fois si celui-ci n'existe pas encore) et se connecter à la myriade de services publics utilisant ce système. Cela dit, 42 millions d'assurés disposant d'un compte Ameli selon l'Assurance Maladie, il reste peu de possibilités de création de compte pour les pirates.
Aux complémentaires de signaler aux assurés
Si la CNIL donne un chiffre de « plus de 33 millions de personnes » touchées alors que les premières communications des entreprises se gardaient bien d'évoquer l'ampleur des fuites, l'autorité indique qu'elle n'est pas en mesure d'indiquer à chaque personne si elle est concernée.
Elle précise qu'il appartient à chacune des complémentaires santé « faisant appel aux prestataires Viamedis et Almerys d’informer individuellement et directement l’ensemble des personnes concernées comme le prévoit notamment le règlement général sur la protection des données (RGPD) ». L'autorité ajoute qu'elle s'assurera que « ce soit fait dans les plus brefs délais ».
Certaines complémentaires ont déjà commencé à informer leurs clients. Malakoff-Humanis a publié sur son site un message qui explique comment ses assurés peuvent savoir s'ils sont concernés, message envoyé aussi à ses assurés. D'autres, comme Generali par exemple, ont aussi envoyé un mailing.
Conseils de prudence
Face à cette fuite gigantesque, la CNIL conseille aux assurés concernés (rappelons qu'il s'agit de la moitié de la population et qu'ils n'ont pas tous encore été contactés par leurs complémentaires) d'être « prudents sur les sollicitations que vous pourrez recevoir, en particulier s’ils concernent des remboursements de frais de santé ».
Elle les pousse aussi à « vérifier périodiquement les activités et mouvements sur vos différents comptes ». Ces conseils classiques et indispensables laissent les assurés bien démunis face à une attaque de si grande ampleur.
Commentaires (113)
#1
#1.1
Vu comment c'est présenté, ça laisse supposer d'un laisser aller côté sécurité.
#1.2
#1.3
#1.5
Et c’est même pas de la malveillance ou de l’économie de bouts de chandelles. C’est juste que dans plein d’équipes de dev, le sujet n’existe même pas. Ce qui existe c’est d’atteindre les objectifs du trimestre. Et personne ne va ajouter des tickets pour ajouter une petite couche de secu puisqu’on a déjà raccourci suffisamment les délais pour que seulement le minimum vital soit embarqué. Et puis juste personne n’y pense parce que c’est pas dans la culture tout court.
#1.6
Mais c'est pour ça que des gars comme moi, qui gère la sécurité transversalement, doivent parcourir les pâturages rappelant aux brebis comment la sécurité doit s'implémenter by design en 2024.
#1.7
#1.4
#1.8
Et à ceux qui ressortent le fameux "Nul n'est censé ignorer la loi", je appellerai que la phrase signifie "personne n'est censé faire fi de la loi".
Sinon, les délais, les budgets etc font qu'une revue de sécurité sérieuse n'est que rarement mise en place sur ce genre de projet.
Ne serait-ce que pour le 2FA.
J'imagine que vous êtes déjà allés chez un pharmacien, opticien, etc...
Pour le tiers payant, il vous demande votre carte de mutuelle et 10 secondes plus tard, il lit à l'écran ce à quoi vous avez droit.
Vous avez vu le "professionel de santé" s'authentifier pour faire ça ?
Moi jamais.
Ca me rappelle les ouvertures de sessions avec mot de passe enregistré dans le navigateur..
Probablement par ce qu'il a été relevé qu'il n'était pas question de faire attendre le client pendant les UAT.
Donc, une fois authentifié sur le site, en tapant votre N° de sécu, il récupère les données qui ont été déclarées comme volées.
Le filtrage dont on parlait plus haut ne peut pas s'appliquer puisque n'importe qui est susceptible d'entrer dans la boutique.
Dans ce genre de configuration, suffit que le PC d'un de ces professionnels ait été volé, vendu aux enchères suite à liquidation ou qu'il ait ait balancé/revendu lui même son PC sans faire un nettoyage que le lambda ne sait pas faire, pour que ces identifiants se retrouvent dans la nature.
#1.9
Pour le tiers payant, il vous demande votre carte de mutuelle et 10 secondes plus tard, il lit à l'écran ce à quoi vous avez droit.
Vous avez vu le "professionel de santé" s'authentifier pour faire ça ?
Moi jamais.
1) Non, les informations sur la carte papier. La prise en charge des mutuelles en pharmacie se résume à 4 points (médicaments classés selon leur taux de remboursement - 65%, 35% et 15% - et les dispositifs médicaux soumis à la LPP). Pas besoin de s'authentifier pour obtenir ces informations, elles sont sur ta carte mutuelle. Plus d'information sur le Guide de stage des Étudiants en Pharmacie en officine (le stage de 6 mois juste avant d'avoir ton diplôme).
Je suppose que c'est la même chose pour les opticiens.
2) Avec le Ségur du numérique (lancé mai-juin 2023), l'accès aux données de Santé va se faire avec le 2FA. Qui s'appellera ici Pro Santé Connect. Les Caisses (CPAM, MSA) s'y sont déjà mis en octobre en mettant à jour le portail Ameli Pro. Pour les mutuelles, ce sont des organismes souvent de droits privé et malgré l'argent qu'elles brassent, j'ai des doutes sur leur efficacité.
3) Ces obligations s'étendent aux sites web hébergeants des données de santé mais aussi logiciels métiers connectés à la toile ou pas.
C'est l'occassion de se réaligner sur le RGPD: chaque utilisateur à couple identifiant/mot de passe qu'il lance au début de sa session de travail. il y a une jouranlisation des accès.
À chaque fois que je fais une délivrance, je dois m'identifier (par contre sécurité perfectible car un Mdp de 16 caractères, ...).
Quand je me connecte à un Dossier Médical Partagé (DMP), le patient reçoit une notification des documents que j'ai consultés. Il peut lire les journaux de connexions à son DMP.
#2
#2.1
#2.2
je connaît pas beaucoup de médecins qui doivent accéder à plus de 1 dossier client par seconde, voir par minute...
#2.3
Demande à ceux qui font des solutions DLP (Data Loss Prevention) si c'est facile de convaincre les clients :)
#3
#3.1
Il y a aussi quelques fois où les choses sont bien faites quand même, ne soyons pas que pessimiste.
#4
#4.1
#4.2
- un numéro dont on a aucun process pour le révoquer à grande échelle
- un numéro qui trahit plein d'infos RGPD sur toi rien qu'en le lisant.
Je veux bien qu'à l'époque où il a été inventé on ne seouciait guère de ça, mais bon ça serait peut-être le moment de passer à un autre format
#5
#5.1
Le problème va plutôt toucher les jeunes majeurs qui n'ont pas pris le temps de créer leur compte AMELI, et les personnes âgées qui ne l'ont jamais fait et qui n'ont pas forcément de compte FranceConnect (même si, pour ce dernier point, la généralisation forcée de la gestion des impôts et taxes en ligne va limiter de fait un peu la casse).
#5.2
Il est donc connu ; utilisé (par qui, comment), je ne sais pas.
#5.3
#5.4
L'INSEE inscrit les naissances dans son RNIPP, et attribut le numéro NIR.
La sécu sociale dispose du SNGI (système National de Gestion des Individus).
Le RNIPP et le SNGI sont synchronisés.
Donc, normalement c'est le même numéro.
Il y a des cas limites, lors des inscriptions à la sécu ou des transferts d'un organisme de sécu à un autre, avec des NIR temporaires du côté des organismes de Sécurité sociale.
#5.5
Par contre, je n'ai pas réussi à lui créer un compte. Je penses que ce n'est pas possible avant ses 18 ans.
Par contre, j'espère que AMELI va améliorer la sécurité de la création d'un compte en le conditionnant à la fourniture d'un code de passe, parce qu'aujourd'hui les pirates n'ont qu'à faire tourner un script qui va attendre le jour des 18 ans de la personne pour créer son compte automatiquement avec ses informations volées...
Je crois me rappeler que France Connect avait exclue AMELI pendant un temps, j'espère que ça va se reproduire pour protéger les usagers...
#5.6
Un numéro de sécu est complété d'une clé à 2 chiffres.
J'utilisais le N° INSEE pour les inscriptions aux exams, mais le N° de sécu (avec sa clé) je ne l'ai eu que quand j'ai commencé à cotiser à la SS et APRES avoir passé ma majorité.
De mémoire, c'est le N° de sécu (avec la clé) qu'il faut taper sur Ameli/France Connect
Probablement la raison en plus du fait que tant qu'on est mineur, on est censé être rattaché au N° de sécu du parent.
Peut être aussi pourquoi France Connect était envisagé pour filtrer l'accès aux sites porno vu qu'on ne peut créer un compte que quand on est majeur.
Historique des modifications :
Posté le 14/02/2024 à 16h53
Les Enfants ont un N° INSEE/NIR
Un numéro de sécu est complété d'une clé à 2 chiffres.
J'utilisais le N° INSEE pour les inscriptions aux exams, mais le N° de sacu (avec sa clé) je ne l'ai eu que quand j'ai commencé à cotiser à la SS et APRES avoir passé ma majorité.
De mémoire, c'est le N° de sécu (avec la clé) qu'il faut taper sur Ameli/France Connect
Probablement la raison en plus du fait que tant qu'on est mineur, on est censé être rattaché au N° de sécu du parent.
Peut être aussi pourquoi France Connect était envisagé pour filtrer l'accès aux sites porno vu qu'on ne peut créer un compte que quand on est majeur.
#6
La com de la mutuelle était très moyenne, minimisant l'incident.
Je leur ai écris, 0 réponse
Les numéro de sécu dans la nature, le risque d'usurpation d'identité .....
#6.1
En aucun cas, ce ne sont des moyens d'authentification. Le problème de sécurité, ce sont les services qui utilisent ces identifiants sans avoir de moyen d'authentification.
#6.2
ca s'appel de l'usurpation
#6.4
#6.5
C'est connu depuis 2013. Il me semble que PC INpact avait parlé de ce cas à l'époque.
Là, c'est juste le capteur qui est mauvais.
Encore un exemple.
Et je ne parle pas du cas plus traumatisant où on te coupe un doigt ou la main comme dans La Tour Montparnasse infernale.
#6.3
j'attends encore d'être contacté par la mienne (april -> viamedis)
#7
À la base non, ce sont des collecteurs techniques qui répartissent ensuite les factures des FSE à chaque mutuelle. Au lieu d'avoir une multitude de comptes, les professionnels de santé n'en ont que quelques un.
Cela sert à envoyer les factures depuis les professionnels de santé et leur font redescendre les retours NOÉMIE (acceptation du paiement, dans le cas du tiers-payant; refus, inconnu de la complémentaire, etc …)
Ensuite certaines permettent de savoir si les droits sont à jours ou pas. Mais ce n'est pas une fonction de base dans le système SESAM-VITALE.
#8
#8.1
#8.2
#8.3
#8.4
#9
Il me tarde de lire le rapport de la CNIL et surtout les recommandations qui vont en découler.
Quand on sait que les personnes touchées par l'usurpation d'identité sont dans une impasse ces fuites sont critiques, en complet décalage de la communication de Viamedis et Almerys.
#10
la moitié des français consternés surtout. ^^
#11
Ou alors vous parlez de FranceConnect Plus, et encore même là, j'ai l'impression que c'est pareil sauf que le seul fournisseur d'identité supporté est La Poste Identité Numérique (mais j'ai encore jamais utilisé).
Bon moi j'ai pas de compte ameli.fr parce que je vois pas l'intérêt, je vais peut-être leur demander de supprimer ce qu'ils ont sur moi au cas où. Ou alors demander des resets d'identifiants suivant les methodes proposées. En tout cas rien à faire côté FranceConnect, c'est à la source ameli.fr qu'il faut s'attaquer.
#11.1
Je n'ai pas de compte ameli.fr non plus, mais j'aurai été plutôt tenté d'en créer un tout de suite.
J'ai loupé quelque chose ?
#11.4
#11.5
Personnellement je créerais bien un compte histoire d'avoir la main sur l'identification et d'avoir les mails d'activité de connexion du compte...
#11.7
#11.9
Je n'ai, moi même, sûrement pas crée de compte sur tous les services existant mais AMELI, pour gérer ses arrêts de travail, vérifier la bonne mise en place du Tiers Payant et sortir des papiers de garantie de couverture je pense que c'est indispensable. Mais je vois que pour certains, non. Alors "tant mieux".
Mais là c'est pour prévenir d'une possible usurpation d'identité et comme souligné la possibilité après d'utiliser les identifiants AMELI pour se connecter sur tous les autres services permettant d'utiliser "FranceConnect".
#11.10
#11.2
Le compte ameli.fr servira pour toi d'y avoir accès, à tes données — le fait de ne pas avoir de compte ameli.fr semble aggraver le problème, c.-à-d. qu'on puisse le créer à ton insu…
#11.3
Et les remboursements, je dois en avoir 2 par an à tout péter, je ne ressens pas le besoin de pouvoir les consulter ailleurs que sur mon compte bancaire.
#11.6
#11.8
«Couplé au nom de famille et à la date de naissance (qui font aussi partie de la fuite) et au code postal de résidence, il peut permettre de créer un compte Ameli si celui-ci n’a pas déjà été créé. Il ne suffirait donc aux pirates que d’identifier le code postal d’un assuré qui n’aurait pas de compte Ameli pour pouvoir en créer un. »
Donc, pour éviter que son compte Ameli ne soit créé par quelqu'un d'autre que toi, autant le créer de ton propre chef. De plus, un compte Ameli permet bien plus que visualiser paiements et remboursements.
#11.11
Et puis, si on va par là, on peut trouver des tonnes de services, gouvernementaux ou non, où on pourrait usurper une identité. On ne va pas créer des comptes partout pour éviter ça (enfin moi je ne le ferai pas). Si c'est FranceConnect qui pose le plus problème, je peux juste désactiver ameli.fr de la liste pour mon profil.
Sinon, le "bien plus" ne m'a pas plus manqué que le reste.
#11.12
Quand tu as un compte valide sur Ameli, il est aussi utlisable dans un login FranceConnect avec le fournisseur d'identité Ameli.
Et si tu viens de le créer à l'instant, comme dans l'article, même une protection comme un second facteur ne suffit pas.
Par contre, l'article semble oublier qu'il faut le RIB de l'assuré pour créer un compte Ameli. Et celui-ci n'est pas concerné par cette fuite.
#11.13
#11.14
D'après https://www.ameli.fr/tarn-et-garonne/assure/adresses-et-contacts/votre-compte-ameli/creer-votre-compte-ameli
Il faut "préparez votre RIB (celui déjà transmis à votre caisse d'assurance maladie) et votre carte Vitale"
Le numéro de série de la carte sera vérifié.
#11.15
J'ai l'impression que Inodemus n'a pas bien compris le fonctionnement de France Connect et ses avantages/dangers.
À sa place, je me créerait vite un compte pour avoir la maîtrise du compte, comme indiqué par d'autres plus haut.
On peut faire pas mal de choses avec un compte France Connect...
Bon, apparemment, c'est bloqué pour les impôts actuellement. ^^ Mais pas service-public.fr ni, surtout, l'ANTS...
#11.16
Pour ce qui est du reste et du compte ameli.fr lui-même, j'ai déjà suffisamment exposé mon point de vue, recherchez dans mes commentaires. En plus vous (et l'article) occultez des informations importantes, outre déjà le code postal cité qui ne fait pas partie de la fuite, il faut aussi apparemment un bout de l'IBAN qui sert aux remboursements et un bout du numéro de carte Vitale, qui ne font pas partie de la fuite et sont autrement plus compliqués à déterminer en masse qu'un code postal. C'est donc loin d'être juste lancer un script pour se retrouver avec 10 millions de comptes usurpés à disposition dans 1h.
#11.17
Concernant le code postal, on peut facilement tester les principaux codes postaux liés au numéro de sécurité sociale, le trouver par un autre moyen via des sources ouvertes, ou tester des codes postaux à fortes probabilités comme ceux de Paris, Marseille, Lyon...
Ce qui me faisait penser que vous n'aviez pas compris le fonctionnement de FC était que vous indiquiez ne pas comprendre l'intérêt de créer un compte AMELI alors que plusieurs personnes ont indiqué que c'était pour "bloquer" le squattage par un hacker. Et ne sachant pas que vous aviez bloqué les autres fournisseurs que votre habituel, votre réponse semblait un peu hors sujet.
Le truc, c'est que d'autres que vous pourraient être moins au courant que vous au sujet de France Connect et suivre votre exemple de ne pas créer de compte AMELI, sans pour autant penser à bloquer ce fournisseur du côté de France Connect (car il faut connaître cette possibilité, déjà).
En tous cas, désolé pour la confusion.
#11.18
Le code postal me paraît difficilement trouvable de manière automatique (et avec les méthodes que tu as énoncées je suis tranquille pour longtemps), mais bon admettons, ce n'est jamais qu'une seule des 3 infos supplémentaires potentiellement demandées. C'est un gros raccourci que de dire qu'on peut créer des comptes facilement avec le contenu de la fuite, raison pour laquelle je n'y vois pas autant de risque que d'autres.
Historique des modifications :
Posté le 09/02/2024 à 21h19
Pour l'IBAN, je ne sais plus comment je l'ai donné dans un premier lieu, ça fait longtemps, mais ils en ont bien un pour me rembourser. A l'inscription il est demandé d'en saisir la fin, le début étant affiché. Même chose pour le numéro de carte Vitale.
Le code postal me paraît difficile trouvable de manière automatique (avec les méthodes que tu as énoncées je suis tranquille pour longtemps), mais bon admettons, ce n'est jamais qu'une seule des 3 infos supplémentaires potentiellement demandées. C'est un gros raccourci que de dire qu'on peut créer des comptes facilement avec le contenu de la fuite, raison pour laquelle je n'y voyais pas autant de risque que d'autres.
Posté le 09/02/2024 à 21h21
Pour l'IBAN, je ne sais plus comment je l'ai donné dans un premier lieu, ça fait longtemps, mais ils en ont bien un pour me rembourser. A l'inscription il est demandé d'en saisir la fin, le début étant affiché. Même chose pour le numéro de carte Vitale.
Le code postal me paraît difficilement trouvable de manière automatique (et avec les méthodes que tu as énoncées je suis tranquille pour longtemps), mais bon admettons, ce n'est jamais qu'une seule des 3 infos supplémentaires potentiellement demandées. C'est un gros raccourci que de dire qu'on peut créer des comptes facilement avec le contenu de la fuite, raison pour laquelle je n'y voyais pas autant de risque que d'autres.
#11.19
C'est effectivement beaucoup plus compliqué dans ce contexte.
Le code postal, c'est certes pas trivial, mais ça se brute-force relativement facilement, vu qu'il y a moins de 40 000 codes postaux.
Bon, la discrétion serait pas là, mais c'est facile à tester au moins.
#12
On sait s’il y aura une plainte groupée des usagers (nous) ? Je m’y associerais bien tient.
#12.1
#13
Merci aux services de l'État qui impose de s'identifier avec le numéro de sécurité sociale (ou pire, France Connect), comme lassuranceretraite.fr ou ameli.fr
#13.1
Et sinon, pour l'illustration et le sous-titre de l'article.
#13.2
#13.3
#13.4
Et ton compte X (ou Y) est compromis, l'autre l'est aussi.
Par exemple, je vais sur impots.gouv.fr > s'identifier avec France Connect > Ameli.fr > "Je me connecte avec mon compte ameli"
Avec la fuite Viamedia / Almerys, le numéro de sécurité sociale a fuité (voir l'actu) donc ton identifiant aux impôts aussi.
#13.5
#13.7
Mais je crains qu'un jour cela devienne obligatoire pour accéder à ce services...
#13.8
Et FranceConnect+ devient nécessaire sur certains services, comme par exemple la signature numérique des procédures du guichet unique sur le site de l'INPI. Il facilite cette étape, même si elle peut toujours être réalisée manuellement par un autre moyen (que je n'ai pas testé pour le coup, ayant préféré celle de FranceConnect+).
En fait, ce qui lui manque, c'est un MFA pour ajouter une petite couche de sûreté. Mais on tombe dans le difficile équilibre de sécurité versus expérience utilisateur (tout le monde n'a pas de smartphone, compétence des personnes, etc).
Par contre, à ce jour et au vu de son fonctionnement, il est difficile de le rendre obligatoire puisque l'identité est celle d'un service de l'administration en ligne. Pour le rendre obligatoire à 100%, il faudrait un IDP unifié (et donc un SPOF de la mort au vu de sa criticité) pour tous les services de l'Etat français. Techniquement faisable, mais côté orga, au vu de la complexité de la gestion de l'IT dans l'administration, j'y crois pas.
#13.10
#13.11
Mais sinon, tous les autres fournisseurs d'identité ont un petit MFA (au moins par mail).
#13.9
Et il n'est pas obligatoire pour certaines démarches sur ants.gouv.fr ? C'était le cas à un moment, mais ça a pu changer.
#13.6
Ils devraient ajouter la double authentification effectivement, au moins la vérification par SMS bien que ce ne soit pas infaillible.
#13.12
Sauf si on utilise le même mot de passe pour tout, ce qui est déconseillé depuis des années par à peu près tout ce qui parle d'informatique et de sécurité.
Historique des modifications :
Posté le 14/02/2024 à 17h03
OK ton identifiant utilisateur est compromis, pas le mot de passe, sui lui, n'a pas fuité.
Sauf si on utilise le même mot de passe pour tout, ce qui est déconseillé depuis des années par à peu près tout ce qui parle d'informatique et de sécurité.
#13.13
#14
#15
Pas forcément, je peux toujours m'y authentifier avec mon identifiant ANPE.
#15.1
#16
Bon, je peux m'attendre à des ennuis prochainement.
Quel système de merde.
#16.1
Il me semble que quand j'ai créé mon compte il y a très longtemps, j'ai reçu un mot de passe par courrier papier, ce qui est aussi une sécurité.
#16.2
#16.3
Le numéro de série de la Carte Vitale (objet que tu donnes à de nombreuses personnes) n'est plus considéré fiable.
https://www.ameli.fr/tarn-et-garonne/assure/adresses-et-contacts/votre-compte-ameli/creer-votre-compte-ameli
#17
Je trouve que c'est inadmissible vu l'ampleur et la gravité de la fuite de données.
#17.1
#17.8
Et ce matin, j'ai enfin reçu un mail d'information à ce sujet.
#17.2
#17.3
Il y a des chances que dans pas longtemps on ait l’info qu’en fait 100% des personnes sont concernées par la fuite…
Les pratiques informatiques dans le milieu médical (mutuelles, opticiens & co compris) sont juste à chier.
#17.5
#17.6
#17.7
#17.4
#18
Blague à part, la connexion à France Connect via Ameli est indisponible depuis... longtemps ? fin 2022 ?
#18.1
#18.2
#18.3
#19
#20
Ce cirque autour de la sécurité qui bouche les trous de souris en laissant les gouffres de Padirac ouverts à la visite....
#20.1
#21
En somme, ce n’est pas à prendre à la légère, et personnellement, cela m’angoisse de voir ces données circuler librement. Qui sait, dans 5 ans, 10 ans, 20 ans, une usurpation pourrait survenir. Le fait que même l’état civil des enfants affiliés soit accessible laisse songeur, et il est extrêmement révoltant de savoir que si une usurpation se produit, la victime sera seule pour tenter de corriger la situation.
Lorsque l’on constate que les gouvernements souhaitent mettre en place une identité numérique pour mieux surveiller les citoyens, cela constitue la preuve que c’est la pire chose à faire.
Personnellement, j’essaie de sécuriser au maximum mes comptes et mes données, car je prends cela très au sérieux. Mais que faire lorsque les organismes d’État sont complètement dépassés ?
#22
#22.1
Tous les assurés ne sont pas touchés au regard du mode opératoire de l’attaque sur les opérateurs de tiers payant.
Une information individuelle sera réalisée par VIVINTER à partir du 12 février, via une information disponible sur l'espace assuré ou sur simple appel auprès du centre de relation client.
#22.2
Je les trouve légers sur 2 points :
Le délai de communication vers les assurés. Cela ne me semble pas conforme aux meilleurs délais demandés par l'article 34 du RGPD. On peut comprendre que ça soit un peu plus long que prévenir la CNIL, mais la seconde fuite est connue au moins depuis le 6/02. Ne communiquer que le 12/02 me semble tardif.
Second point : une information sur l'espace assuré n'est pas un moyen convenable puisque certains assurés peuvent aller rarement dans cet espace. Il faut au moins un message envoyé par mail ou SMS annonçant le problème et revoyant vers cet espace . Quant à la communication si on les appelle, je préfère ne rien en dire, je deviendrais discourtois !
#22.3
#22.4
#23
Ma mutuelle qui utilise bien Viamedis s’est empressée d’envoyer un mail pour communiquer que ses clients n’étaient pas concernés et ça me semble très louche comme communication.
#23.1
#23.2
Le probleme est que pour l'instant les assurés doivent faire des demandent a Viamedis de facon individuel et qu'ils ne sont deja pas capable de repondre.
L'application de RGPD est clairement pas faire en tout cas, de plus a ce niveau ce n'est pas aux assurés de faire les demarches necessaire.
#23.3
#24
#24.1
Genre un somme forfaitaire que le coupable devra reverser, ou une protection en cas de problème futur en cas de phishing à cause des infos dévoilées ?
#24.2
Une solution durable serait de modifier les numeros de SS. Autant dire que ce ne sera pas fait.
#25
Vu les négligences probables, les clients ne pourraient-ils pas porter plainte pour négligence ?
J'ai l'impression que seule une grosse amende/peine pour ce motif ferait bouger les choess.