des mains qui portent des gants chirurgicauxUnsplash – Clay Banks

Prestataires du tiers payant piratés : la moitié des Français concernés, la CNIL ouvre une enquête

Restons calmes

Avatar de l'auteur
Martin Clavey

Publié dans

SécuritéSociété numérique

08/02/2024
113

des mains qui portent des gants chirurgicauxUnsplash – Clay Banks

La semaine dernière et cette semaine, Viamedis et Almerys, deux prestataires du tiers payant, ont signalé avoir subi des attaques informatiques menant à des fuites de données. Hier soir, la CNIL a annoncé qu'elle ouvrait une enquête sur ces violations de données et a révélé que plus de 33 millions de personnes étaient concernées.

État civil, la date de naissance, le numéro de sécurité sociale, le nom de leur assureur santé ainsi que les garanties ouvertes au tiers payant, ce sont ces données personnelles de la moitié des français que des pirates ont réussi à récupérer chez les deux prestataires Viamedis (filiale du groupe Malakoff-Médéric-Humanis) et Almerys (filiale du Holding financier Heka Invest). À elle seule, Viamedis gère le tiers payant de 84 complémentaires santé, dont sa maison mère Malakoff-Médéric-Humanis.

Ces opérateurs sont des intermédiaires entre les professionnels de santé et les complémentaires. Ils fournissent le portail qui permet aux médecins, pharmaciens et autres professionnels de santé de savoir s'ils peuvent accorder ou non le tiers payant à un assuré social.

Des comptes de professionnels de santé compromis

La suite est réservée à nos abonnés.

Déjà abonné ? Se connecter

Abonnez-vous
113

Écrit par Martin Clavey

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Des comptes de professionnels de santé compromis

Des données utilisables pour crédibiliser des attaques de phishing

Un numéro de sécurité sociale, identifiant pour de nombreux services

Aux complémentaires de signaler aux assurés

Conseils de prudence

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (113)


Spike Abonné
Le 08/02/2024 à 12h 42
Comment des comptes compromis, donc de simples comptes utilisateurs, ont-ils pu permettre de récupérer tant d'informations ?
grsbdl Abonné
Le 08/02/2024 à 13h 02
Excellente remarque, on aurait pu imaginer un rate limiting par praticien. Ça aurait été un minimum. Ainsi qu'une analyse des accès, pour justement prévenir ce genre de situation.
Vu comment c'est présenté, ça laisse supposer d'un laisser aller côté sécurité.
Modifié le 08/02/2024 à 13h06
Le 08/02/2024 à 15h 39

grsbdl

Excellente remarque, on aurait pu imaginer un rate limiting par praticien. Ça aurait été un minimum. Ainsi qu'une analyse des accès, pour justement prévenir ce genre de situation.
Vu comment c'est présenté, ça laisse supposer d'un laisser aller côté sécurité.
Faudrait aussi voir les exigences qui leur ont été imposés, je ne serais pas étonné que l'appel d'offres n'ait rien inclus de ce côté là :/
swiper Abonné
Le 09/02/2024 à 10h 22

maddanny

Faudrait aussi voir les exigences qui leur ont été imposés, je ne serais pas étonné que l'appel d'offres n'ait rien inclus de ce côté là :/
Parce qu'un cerveau moderne et ayant des bases de sécurité ne suffit pas ?
jpaul Abonné
Le 09/02/2024 à 16h 12

swiper

Parce qu'un cerveau moderne et ayant des bases de sécurité ne suffit pas ?
Il faut bien comprendre que dans pas mal de boîtes (la plupart en fait), tout le monde s’en fout totalement.

Et c’est même pas de la malveillance ou de l’économie de bouts de chandelles. C’est juste que dans plein d’équipes de dev, le sujet n’existe même pas. Ce qui existe c’est d’atteindre les objectifs du trimestre. Et personne ne va ajouter des tickets pour ajouter une petite couche de secu puisqu’on a déjà raccourci suffisamment les délais pour que seulement le minimum vital soit embarqué. Et puis juste personne n’y pense parce que c’est pas dans la culture tout court.
swiper Abonné
Le 09/02/2024 à 16h 20

jpaul

Il faut bien comprendre que dans pas mal de boîtes (la plupart en fait), tout le monde s’en fout totalement.

Et c’est même pas de la malveillance ou de l’économie de bouts de chandelles. C’est juste que dans plein d’équipes de dev, le sujet n’existe même pas. Ce qui existe c’est d’atteindre les objectifs du trimestre. Et personne ne va ajouter des tickets pour ajouter une petite couche de secu puisqu’on a déjà raccourci suffisamment les délais pour que seulement le minimum vital soit embarqué. Et puis juste personne n’y pense parce que c’est pas dans la culture tout court.
Je connais bien, je le vois chaque jour :pleure:
Mais c'est pour ça que des gars comme moi, qui gère la sécurité transversalement, doivent parcourir les pâturages rappelant aux brebis comment la sécurité doit s'implémenter by design en 2024.
Le 09/02/2024 à 17h 23

swiper

Parce qu'un cerveau moderne et ayant des bases de sécurité ne suffit pas ?
Tout le monde livre du "juste assez". Pourquoi mettre de l'argent pour quelque chose qui est jamais arrivé ? Oups c'est le cas on va donc le faire, même si c'est trop tard :/
Le 09/02/2024 à 10h 53

maddanny

Faudrait aussi voir les exigences qui leur ont été imposés, je ne serais pas étonné que l'appel d'offres n'ait rien inclus de ce côté là :/
Même si l'appel d'offres n'inclus rien, la loi s'impose lors de la gestion de données personnelles
Gldump92 Abonné
Le 14/02/2024 à 16h 45

Gamble

Même si l'appel d'offres n'inclus rien, la loi s'impose lors de la gestion de données personnelles
Probablement que oui, mais les commerciaux et informaticiens qui sont sur ce sujet eux ne sont pas juristes.
Et à ceux qui ressortent le fameux "Nul n'est censé ignorer la loi", je appellerai que la phrase signifie "personne n'est censé faire fi de la loi".

Sinon, les délais, les budgets etc font qu'une revue de sécurité sérieuse n'est que rarement mise en place sur ce genre de projet.
Ne serait-ce que pour le 2FA.

J'imagine que vous êtes déjà allés chez un pharmacien, opticien, etc...
Pour le tiers payant, il vous demande votre carte de mutuelle et 10 secondes plus tard, il lit à l'écran ce à quoi vous avez droit.
Vous avez vu le "professionel de santé" s'authentifier pour faire ça ?
Moi jamais.
Ca me rappelle les ouvertures de sessions avec mot de passe enregistré dans le navigateur..
Probablement par ce qu'il a été relevé qu'il n'était pas question de faire attendre le client pendant les UAT.
Donc, une fois authentifié sur le site, en tapant votre N° de sécu, il récupère les données qui ont été déclarées comme volées.
Le filtrage dont on parlait plus haut ne peut pas s'appliquer puisque n'importe qui est susceptible d'entrer dans la boutique.

Dans ce genre de configuration, suffit que le PC d'un de ces professionnels ait été volé, vendu aux enchères suite à liquidation ou qu'il ait ait balancé/revendu lui même son PC sans faire un nettoyage que le lambda ne sait pas faire, pour que ces identifiants se retrouvent dans la nature.
Soriatane Abonné
Le 16/02/2024 à 16h 27

Gldump92

Probablement que oui, mais les commerciaux et informaticiens qui sont sur ce sujet eux ne sont pas juristes.
Et à ceux qui ressortent le fameux "Nul n'est censé ignorer la loi", je appellerai que la phrase signifie "personne n'est censé faire fi de la loi".

Sinon, les délais, les budgets etc font qu'une revue de sécurité sérieuse n'est que rarement mise en place sur ce genre de projet.
Ne serait-ce que pour le 2FA.

J'imagine que vous êtes déjà allés chez un pharmacien, opticien, etc...
Pour le tiers payant, il vous demande votre carte de mutuelle et 10 secondes plus tard, il lit à l'écran ce à quoi vous avez droit.
Vous avez vu le "professionel de santé" s'authentifier pour faire ça ?
Moi jamais.
Ca me rappelle les ouvertures de sessions avec mot de passe enregistré dans le navigateur..
Probablement par ce qu'il a été relevé qu'il n'était pas question de faire attendre le client pendant les UAT.
Donc, une fois authentifié sur le site, en tapant votre N° de sécu, il récupère les données qui ont été déclarées comme volées.
Le filtrage dont on parlait plus haut ne peut pas s'appliquer puisque n'importe qui est susceptible d'entrer dans la boutique.

Dans ce genre de configuration, suffit que le PC d'un de ces professionnels ait été volé, vendu aux enchères suite à liquidation ou qu'il ait ait balancé/revendu lui même son PC sans faire un nettoyage que le lambda ne sait pas faire, pour que ces identifiants se retrouvent dans la nature.
>> J'imagine que vous êtes déjà allés chez un pharmacien, opticien, etc...
Pour le tiers payant, il vous demande votre carte de mutuelle et 10 secondes plus tard, il lit à l'écran ce à quoi vous avez droit.
Vous avez vu le "professionel de santé" s'authentifier pour faire ça ?
Moi jamais.


1) Non, les informations sur la carte papier. La prise en charge des mutuelles en pharmacie se résume à 4 points (médicaments classés selon leur taux de remboursement - 65%, 35% et 15% - et les dispositifs médicaux soumis à la LPP). Pas besoin de s'authentifier pour obtenir ces informations, elles sont sur ta carte mutuelle. Plus d'information sur le Guide de stage des Étudiants en Pharmacie en officine (le stage de 6 mois juste avant d'avoir ton diplôme).
Je suppose que c'est la même chose pour les opticiens.

2) Avec le Ségur du numérique (lancé mai-juin 2023), l'accès aux données de Santé va se faire avec le 2FA. Qui s'appellera ici Pro Santé Connect. Les Caisses (CPAM, MSA) s'y sont déjà mis en octobre en mettant à jour le portail Ameli Pro. Pour les mutuelles, ce sont des organismes souvent de droits privé et malgré l'argent qu'elles brassent, j'ai des doutes sur leur efficacité.

3) Ces obligations s'étendent aux sites web hébergeants des données de santé mais aussi logiciels métiers connectés à la toile ou pas.
C'est l'occassion de se réaligner sur le RGPD: chaque utilisateur à couple identifiant/mot de passe qu'il lance au début de sa session de travail. il y a une jouranlisation des accès.
À chaque fois que je fais une délivrance, je dois m'identifier (par contre sécurité perfectible car un Mdp de 16 caractères, ...).
Quand je me connecte à un Dossier Médical Partagé (DMP), le patient reçoit une notification des documents que j'ai consultés. Il peut lire les journaux de connexions à son DMP.
Le 08/02/2024 à 12h 44
admin:admin
Le 08/02/2024 à 15h 41
Justement non, il s'agit d'accès légitimes de praticiens qui ont été volés et utilisés pour sortir les données.
Albirew Abonné
Le 08/02/2024 à 19h 35

maddanny

Justement non, il s'agit d'accès légitimes de praticiens qui ont été volés et utilisés pour sortir les données.
ce qui me désole, c'est qu'ils n'aient mis aucun garde-fou, comme des limites en nombre d'accès aux dossiers clients par minute...
je connaît pas beaucoup de médecins qui doivent accéder à plus de 1 dossier client par seconde, voir par minute...
Le 09/02/2024 à 17h 21

Albirew

ce qui me désole, c'est qu'ils n'aient mis aucun garde-fou, comme des limites en nombre d'accès aux dossiers clients par minute...
je connaît pas beaucoup de médecins qui doivent accéder à plus de 1 dossier client par seconde, voir par minute...
C'est pourtant simple, comme dans tout projet on livre le minimum pour répondre au besoin. Malheureusement c'est souvent les pannes ou les incidents de sécurité qui font évoluer les systèmes, car on prend conscience des oublis ou alors on priorise ce qui avait été délibérément mis de côté.
Demande à ceux qui font des solutions DLP (Data Loss Prevention) si c'est facile de convaincre les clients :)
aurel_gogo Abonné
Le 08/02/2024 à 12h 53
ça me désole, la sécurité devient un enjeu une fois que t'es piraté :mad:
Alianirah Abonné
Le 08/02/2024 à 17h 40
Le monde n'est pas vraiment reconnu pour sa capacité d'anticipation, et c'est terriblement dommage. L'histoire ne cesse de se répéter.

Il y a aussi quelques fois où les choses sont bien faites quand même, ne soyons pas que pessimiste.
ecatomb Abonné
Le 08/02/2024 à 12h 53
Vive l'utilisation obligatoire d'un identifiant impossible à modifier...
KaraMan Abonné
Le 08/02/2024 à 13h 38
Oui, ces question avaient déjà été soulevées lors des fuites massives de données liées aux tests Covid (mes données étaient liées aux tests, pas les fuites, hein :D), dont le numéro INSEE...
1dimitri Abonné
Le 11/02/2024 à 08h 26

KaraMan

Oui, ces question avaient déjà été soulevées lors des fuites massives de données liées aux tests Covid (mes données étaient liées aux tests, pas les fuites, hein :D), dont le numéro INSEE...
ah, le numéro INSEE, une grande réussite de l'administration selon les standards du RGPD :
- un numéro dont on a aucun process pour le révoquer à grande échelle
- un numéro qui trahit plein d'infos RGPD sur toi rien qu'en le lisant.

Je veux bien qu'à l'époque où il a été inventé on ne seouciait guère de ça, mais bon ça serait peut-être le moment de passer à un autre format
potn Abonné
Le 08/02/2024 à 13h 20
C'est les enfants surtout qui ont un risque, puisque peu de personnes vont penser à leur créer un compte AMELI...
KaraMan Abonné
Le 08/02/2024 à 13h 41
Les enfants n'ont un numéro INSEE qui leur est attribué qu'à leur majorité. Avant ça, ils vont être rattachés au numéro INSEE de l'assuré, en tant qu'ayant-droit (le numéro INSEE existe probablement dans les bases de l'INSEE, mais n'est connu de personne tant qu'il n'est pas transmis à l'ayant-droit majeur autonome).
Le problème va plutôt toucher les jeunes majeurs qui n'ont pas pris le temps de créer leur compte AMELI, et les personnes âgées qui ne l'ont jamais fait et qui n'ont pas forcément de compte FranceConnect (même si, pour ce dernier point, la généralisation forcée de la gestion des impôts et taxes en ligne va limiter de fait un peu la casse).
bechamel Abonné
Le 08/02/2024 à 14h 51

KaraMan

Les enfants n'ont un numéro INSEE qui leur est attribué qu'à leur majorité. Avant ça, ils vont être rattachés au numéro INSEE de l'assuré, en tant qu'ayant-droit (le numéro INSEE existe probablement dans les bases de l'INSEE, mais n'est connu de personne tant qu'il n'est pas transmis à l'ayant-droit majeur autonome).
Le problème va plutôt toucher les jeunes majeurs qui n'ont pas pris le temps de créer leur compte AMELI, et les personnes âgées qui ne l'ont jamais fait et qui n'ont pas forcément de compte FranceConnect (même si, pour ce dernier point, la généralisation forcée de la gestion des impôts et taxes en ligne va limiter de fait un peu la casse).
Ce n'est pas tout à fait vrai : j'ai déjà le n° INSEE de mes enfants indiqués du côté de ma mutuelle. Il n'est peut-être pas utilisé avant la majorité, mais il est connu : de toutes façons, le n° est assez simple à retrouver, le seul "aléa" est la fin qui semble être le "rang" parmi le nombre de naissance qu'il y a (ou qui ont été déclarés) le mois dans la commune de naissance. (https://fr.wikipedia.org/wiki/Num%C3%A9ro_de_s%C3%A9curit%C3%A9_sociale_en_France#Signification_des_chiffres_du_NIR).
Il est donc connu ; utilisé (par qui, comment), je ne sais pas.
Le 08/02/2024 à 14h 54

KaraMan

Les enfants n'ont un numéro INSEE qui leur est attribué qu'à leur majorité. Avant ça, ils vont être rattachés au numéro INSEE de l'assuré, en tant qu'ayant-droit (le numéro INSEE existe probablement dans les bases de l'INSEE, mais n'est connu de personne tant qu'il n'est pas transmis à l'ayant-droit majeur autonome).
Le problème va plutôt toucher les jeunes majeurs qui n'ont pas pris le temps de créer leur compte AMELI, et les personnes âgées qui ne l'ont jamais fait et qui n'ont pas forcément de compte FranceConnect (même si, pour ce dernier point, la généralisation forcée de la gestion des impôts et taxes en ligne va limiter de fait un peu la casse).
On ne parle pas plutôt de NIR ? Première fois que j'entends parler de numéro INSEE pour les personnes physiques
Le 09/02/2024 à 11h 04

SunneX

On ne parle pas plutôt de NIR ? Première fois que j'entends parler de numéro INSEE pour les personnes physiques
Numéro INSEE et NIR sont normalement identiques.
L'INSEE inscrit les naissances dans son RNIPP, et attribut le numéro NIR.
La sécu sociale dispose du SNGI (système National de Gestion des Individus).
Le RNIPP et le SNGI sont synchronisés.
Donc, normalement c'est le même numéro.

Il y a des cas limites, lors des inscriptions à la sécu ou des transferts d'un organisme de sécu à un autre, avec des NIR temporaires du côté des organismes de Sécurité sociale.
Modifié le 09/02/2024 à 11h21
potn Abonné
Le 09/02/2024 à 11h 47

KaraMan

Les enfants n'ont un numéro INSEE qui leur est attribué qu'à leur majorité. Avant ça, ils vont être rattachés au numéro INSEE de l'assuré, en tant qu'ayant-droit (le numéro INSEE existe probablement dans les bases de l'INSEE, mais n'est connu de personne tant qu'il n'est pas transmis à l'ayant-droit majeur autonome).
Le problème va plutôt toucher les jeunes majeurs qui n'ont pas pris le temps de créer leur compte AMELI, et les personnes âgées qui ne l'ont jamais fait et qui n'ont pas forcément de compte FranceConnect (même si, pour ce dernier point, la généralisation forcée de la gestion des impôts et taxes en ligne va limiter de fait un peu la casse).
Pour le coup, comme @bechamel, j'ai aussi pu récupérer le numéro de sécurité sociale de mon enfant via mon compte AMELI, en éditant une attestation de droits.
Par contre, je n'ai pas réussi à lui créer un compte. Je penses que ce n'est pas possible avant ses 18 ans.
Par contre, j'espère que AMELI va améliorer la sécurité de la création d'un compte en le conditionnant à la fourniture d'un code de passe, parce qu'aujourd'hui les pirates n'ont qu'à faire tourner un script qui va attendre le jour des 18 ans de la personne pour créer son compte automatiquement avec ses informations volées...
Je crois me rappeler que France Connect avait exclue AMELI pendant un temps, j'espère que ça va se reproduire pour protéger les usagers...
Gldump92 Abonné
Le 14/02/2024 à 16h 53

potn

Pour le coup, comme @bechamel, j'ai aussi pu récupérer le numéro de sécurité sociale de mon enfant via mon compte AMELI, en éditant une attestation de droits.
Par contre, je n'ai pas réussi à lui créer un compte. Je penses que ce n'est pas possible avant ses 18 ans.
Par contre, j'espère que AMELI va améliorer la sécurité de la création d'un compte en le conditionnant à la fourniture d'un code de passe, parce qu'aujourd'hui les pirates n'ont qu'à faire tourner un script qui va attendre le jour des 18 ans de la personne pour créer son compte automatiquement avec ses informations volées...
Je crois me rappeler que France Connect avait exclue AMELI pendant un temps, j'espère que ça va se reproduire pour protéger les usagers...
Les Enfants ont un N° INSEE/NIR
Un numéro de sécu est complété d'une clé à 2 chiffres.
J'utilisais le N° INSEE pour les inscriptions aux exams, mais le N° de sécu (avec sa clé) je ne l'ai eu que quand j'ai commencé à cotiser à la SS et APRES avoir passé ma majorité.

De mémoire, c'est le N° de sécu (avec la clé) qu'il faut taper sur Ameli/France Connect
Probablement la raison en plus du fait que tant qu'on est mineur, on est censé être rattaché au N° de sécu du parent.

Peut être aussi pourquoi France Connect était envisagé pour filtrer l'accès aux sites porno vu qu'on ne peut créer un compte que quand on est majeur.
Modifié le 14/02/2024 à 16h53

Historique des modifications :

Posté le 14/02/2024 à 16h53


Les Enfants ont un N° INSEE/NIR
Un numéro de sécu est complété d'une clé à 2 chiffres.
J'utilisais le N° INSEE pour les inscriptions aux exams, mais le N° de sacu (avec sa clé) je ne l'ai eu que quand j'ai commencé à cotiser à la SS et APRES avoir passé ma majorité.

De mémoire, c'est le N° de sécu (avec la clé) qu'il faut taper sur Ameli/France Connect
Probablement la raison en plus du fait que tant qu'on est mineur, on est censé être rattaché au N° de sécu du parent.

Peut être aussi pourquoi France Connect était envisagé pour filtrer l'accès aux sites porno vu qu'on ne peut créer un compte que quand on est majeur.

typhoon006 Abonné
Le 08/02/2024 à 13h 38
Je suis impacté.
La com de la mutuelle était très moyenne, minimisant l'incident.
Je leur ai écris, 0 réponse

Les numéro de sécu dans la nature, le risque d'usurpation d'identité .....
guimoploup Abonné
Le 08/02/2024 à 16h 51
Le numéro de sécu est un idenfiant. Comme la plaque d'immatriculation, l'emprunte digitale etc.

En aucun cas, ce ne sont des moyens d'authentification. Le problème de sécurité, ce sont les services qui utilisent ces identifiants sans avoir de moyen d'authentification.
typhoon006 Abonné
Le 08/02/2024 à 17h 26

guimoploup

Le numéro de sécu est un idenfiant. Comme la plaque d'immatriculation, l'emprunte digitale etc.

En aucun cas, ce ne sont des moyens d'authentification. Le problème de sécurité, ce sont les services qui utilisent ces identifiants sans avoir de moyen d'authentification.
une fausse carte vitale avec ton numéro de secu + nom + prénom
ca s'appel de l'usurpation
Le 09/02/2024 à 10h 57

guimoploup

Le numéro de sécu est un idenfiant. Comme la plaque d'immatriculation, l'emprunte digitale etc.

En aucun cas, ce ne sont des moyens d'authentification. Le problème de sécurité, ce sont les services qui utilisent ces identifiants sans avoir de moyen d'authentification.
Ah, une empreinte digitale n'est pas un moyen d'authentification ? Ca sort d'où ? Va faloir en parler à tous les constructeurs d'appareils mobiles, genre Apple, Samsung, ...
fred42 Abonné
Le 09/02/2024 à 13h 48

Gamble

Ah, une empreinte digitale n'est pas un moyen d'authentification ? Ca sort d'où ? Va faloir en parler à tous les constructeurs d'appareils mobiles, genre Apple, Samsung, ...
Il a pourtant raison.
C'est connu depuis 2013. Il me semble que PC INpact avait parlé de ce cas à l'époque.
Là, c'est juste le capteur qui est mauvais.
Encore un exemple.

Et je ne parle pas du cas plus traumatisant où on te coupe un doigt ou la main comme dans La Tour Montparnasse infernale.
Modifié le 09/02/2024 à 13h49
Albirew Abonné
Le 08/02/2024 à 19h 39
au moins ta mutuelle t'a fait une communication...
j'attends encore d'être contacté par la mienne (april -> viamedis)
Soriatane Abonné
Le 08/02/2024 à 13h 40
"Ces opérateurs sont des intermédiaires entre les professionnels de santé et les complémentaires. Ils fournissent le portail qui permet aux médecins, pharmaciens et autres professionnels de santé de savoir s'ils peuvent accorder ou non le tiers payant à un assuré social."

À la base non, ce sont des collecteurs techniques qui répartissent ensuite les factures des FSE à chaque mutuelle. Au lieu d'avoir une multitude de comptes, les professionnels de santé n'en ont que quelques un.

Cela sert à envoyer les factures depuis les professionnels de santé et leur font redescendre les retours NOÉMIE (acceptation du paiement, dans le cas du tiers-payant; refus, inconnu de la complémentaire, etc …)

Ensuite certaines permettent de savoir si les droits sont à jours ou pas. Mais ce n'est pas une fonction de base dans le système SESAM-VITALE.
Modifié le 08/02/2024 à 21h21
fjarp Abonné
Le 08/02/2024 à 13h 42
Bizarre, les 2 prestataires en pas longtemps, ça sent l'attaque bien planifié
Spike Abonné
Le 08/02/2024 à 13h 47
Ou c'est que les professionnels de santé compromis avaient des comptes chez les 2 prestataires avec le même mot de passe va savoir !!!
Le 08/02/2024 à 14h 24

Spike

Ou c'est que les professionnels de santé compromis avaient des comptes chez les 2 prestataires avec le même mot de passe va savoir !!!
Il aurait donc ouvert deux fois Vidéo_de_chatons.PDF ? :D
Spike Abonné
Le 08/02/2024 à 14h 31

Timanu69

Il aurait donc ouvert deux fois Vidéo_de_chatons.PDF ? :D
Non une seule suffit :francais: ensuite les pirates ont testé le couple Login/Pass sur les autres services :eeek2:
Alianirah Abonné
Le 08/02/2024 à 18h 55

Spike

Non une seule suffit :francais: ensuite les pirates ont testé le couple Login/Pass sur les autres services :eeek2:
Mince, c'était pas une part de pizza ?!? 🍕
Le 08/02/2024 à 14h 42
Je pense que ces 2 fuites de données montre l'urgence de revoir entièrement le système de santé basé sur un numéro unique à vie et tous les systèmes comme FranceConnect qui l'utilisent.

Il me tarde de lire le rapport de la CNIL et surtout les recommandations qui vont en découler.

Quand on sait que les personnes touchées par l'usurpation d'identité sont dans une impasse ces fuites sont critiques, en complet décalage de la communication de Viamedis et Almerys.
hellmut Abonné
Le 08/02/2024 à 14h 45
"la moitié des français concernés"
la moitié des français consternés surtout. ^^
Inodemus Abonné
Le 08/02/2024 à 14h 53
L'article parle de "créer un compte FranceConnect", ce n'est pas correct. Il n'existe pas de compte chez FranceConnect, c'est un intermédiaire qui permet d'utiliser un compte existant chez un de leurs partenaires fournisseur d'identité (dont impots.gouv.fr ou ameli.fr) pour s'authentifier chez un autre de leurs partenaires demandeur d'identité. FranceConnect conserve ensuite les données transmises tant que la session reste valide pour pouvoir refournir au besoin le jeton d'accès (quelques heures maxi), et ensuite ne garde plus rien.

Ou alors vous parlez de FranceConnect Plus, et encore même là, j'ai l'impression que c'est pareil sauf que le seul fournisseur d'identité supporté est La Poste Identité Numérique (mais j'ai encore jamais utilisé).

Bon moi j'ai pas de compte ameli.fr parce que je vois pas l'intérêt, je vais peut-être leur demander de supprimer ce qu'ils ont sur moi au cas où. Ou alors demander des resets d'identifiants suivant les methodes proposées. En tout cas rien à faire côté FranceConnect, c'est à la source ameli.fr qu'il faut s'attaquer.
gg40 Abonné
Le 08/02/2024 à 15h 47
>Bon moi j'ai pas de compte ameli.fr parce que je vois pas l'intérêt, je vais peut-être leur demander de supprimer ce qu'ils ont sur moi au cas où

Je n'ai pas de compte ameli.fr non plus, mais j'aurai été plutôt tenté d'en créer un tout de suite.
J'ai loupé quelque chose ?
Modifié le 08/02/2024 à 15h51
Inodemus Abonné
Le 08/02/2024 à 20h 00

gg40

>Bon moi j'ai pas de compte ameli.fr parce que je vois pas l'intérêt, je vais peut-être leur demander de supprimer ce qu'ils ont sur moi au cas où

Je n'ai pas de compte ameli.fr non plus, mais j'aurai été plutôt tenté d'en créer un tout de suite.
J'ai loupé quelque chose ?
Ben si j'avais pas l'utilité d'en créer un avant, j'en ai toujours pas l'utilité maintenant. Donc je ne me sens toujours pas tenté.
FraGG Abonné
Le 08/02/2024 à 20h 07

gg40

>Bon moi j'ai pas de compte ameli.fr parce que je vois pas l'intérêt, je vais peut-être leur demander de supprimer ce qu'ils ont sur moi au cas où

Je n'ai pas de compte ameli.fr non plus, mais j'aurai été plutôt tenté d'en créer un tout de suite.
J'ai loupé quelque chose ?
Le compte AMELI te permet de sortir des informations personnelles, de faire des papiers pouvant être demandé dans certains cas pour justifier de ton identité.

Personnellement je créerais bien un compte histoire d'avoir la main sur l'identification et d'avoir les mails d'activité de connexion du compte...
Inodemus Abonné
Le 08/02/2024 à 22h 50

FraGG

Le compte AMELI te permet de sortir des informations personnelles, de faire des papiers pouvant être demandé dans certains cas pour justifier de ton identité.

Personnellement je créerais bien un compte histoire d'avoir la main sur l'identification et d'avoir les mails d'activité de connexion du compte...
Je n'ai pas souvenir d'avoir eu besoin de ces papiers, où alors ça date d'avant l'existence des comptes AMELI. Au besoin je serai toujours à temps de le créer. Je suis censé créer un compte si je veux l'utiliser, pas pour occuper l'espace, c'est une relativement drôle d'idée qui potentiellement me forcerait à créer des comptes sur tous les services administratifs existants, ne sachant jamais à l'avance ce qu'il est possible d'y faire.
FraGG Abonné
Le 09/02/2024 à 07h 37

Inodemus

Je n'ai pas souvenir d'avoir eu besoin de ces papiers, où alors ça date d'avant l'existence des comptes AMELI. Au besoin je serai toujours à temps de le créer. Je suis censé créer un compte si je veux l'utiliser, pas pour occuper l'espace, c'est une relativement drôle d'idée qui potentiellement me forcerait à créer des comptes sur tous les services administratifs existants, ne sachant jamais à l'avance ce qu'il est possible d'y faire.
Bien ce sont quand même des services "gouvernementaux" et là je découvre en lisant que certaines personnes n'ont jamais fait un compte sur ces services.

Je n'ai, moi même, sûrement pas crée de compte sur tous les services existant mais AMELI, pour gérer ses arrêts de travail, vérifier la bonne mise en place du Tiers Payant et sortir des papiers de garantie de couverture je pense que c'est indispensable. Mais je vois que pour certains, non. Alors "tant mieux".

Mais là c'est pour prévenir d'une possible usurpation d'identité et comme souligné la possibilité après d'utiliser les identifiants AMELI pour se connecter sur tous les autres services permettant d'utiliser "FranceConnect".

Inodemus Abonné
Le 09/02/2024 à 09h 38

FraGG

Bien ce sont quand même des services "gouvernementaux" et là je découvre en lisant que certaines personnes n'ont jamais fait un compte sur ces services.

Je n'ai, moi même, sûrement pas crée de compte sur tous les services existant mais AMELI, pour gérer ses arrêts de travail, vérifier la bonne mise en place du Tiers Payant et sortir des papiers de garantie de couverture je pense que c'est indispensable. Mais je vois que pour certains, non. Alors "tant mieux".

Mais là c'est pour prévenir d'une possible usurpation d'identité et comme souligné la possibilité après d'utiliser les identifiants AMELI pour se connecter sur tous les autres services permettant d'utiliser "FranceConnect".

Je n'ai eu aucun des besoins que tu cites, on n'a pas tous la même santé ni le même parcours. Je ne vois pas en quoi c'est choquant, certains ont sans doute des comptes sur d'autres services qui leurs sont indispensables alors que tu n'en as pas. Et si je veux activement prévenir l'usurpation ce n'est pas le seul moyen de faire.
Modifié le 09/02/2024 à 09h39
wild Abonné
Le 08/02/2024 à 16h 52
À mon avis, que tu aies un compte ameli.fr ou non, l'assurance maladie aura créé un compte pour tes données (paiements, remboursements, etc).
Le compte ameli.fr servira pour toi d'y avoir accès, à tes données — le fait de ne pas avoir de compte ameli.fr semble aggraver le problème, c.-à-d. qu'on puisse le créer à ton insu…
Inodemus Abonné
Le 08/02/2024 à 19h 57

wild

À mon avis, que tu aies un compte ameli.fr ou non, l'assurance maladie aura créé un compte pour tes données (paiements, remboursements, etc).
Le compte ameli.fr servira pour toi d'y avoir accès, à tes données — le fait de ne pas avoir de compte ameli.fr semble aggraver le problème, c.-à-d. qu'on puisse le créer à ton insu…
Ce serait quand-même bien la première fois que ne pas créer un compte quelque part pourrait constituer un risque de sécurité.

Et les remboursements, je dois en avoir 2 par an à tout péter, je ne ressens pas le besoin de pouvoir les consulter ailleurs que sur mon compte bancaire.
Modifié le 08/02/2024 à 20h03
Raromatai Abonné
Le 08/02/2024 à 20h 27

Inodemus

Ce serait quand-même bien la première fois que ne pas créer un compte quelque part pourrait constituer un risque de sécurité.

Et les remboursements, je dois en avoir 2 par an à tout péter, je ne ressens pas le besoin de pouvoir les consulter ailleurs que sur mon compte bancaire.
Modifié le 08/02/2024 à 20h28
wild Abonné
Le 09/02/2024 à 02h 51

Inodemus

Ce serait quand-même bien la première fois que ne pas créer un compte quelque part pourrait constituer un risque de sécurité.

Et les remboursements, je dois en avoir 2 par an à tout péter, je ne ressens pas le besoin de pouvoir les consulter ailleurs que sur mon compte bancaire.
Comme dit dans l'article :
«Couplé au nom de famille et à la date de naissance (qui font aussi partie de la fuite) et au code postal de résidence, il peut permettre de créer un compte Ameli si celui-ci n’a pas déjà été créé. Il ne suffirait donc aux pirates que d’identifier le code postal d’un assuré qui n’aurait pas de compte Ameli pour pouvoir en créer un. »

Donc, pour éviter que son compte Ameli ne soit créé par quelqu'un d'autre que toi, autant le créer de ton propre chef. De plus, un compte Ameli permet bien plus que visualiser paiements et remboursements.
Inodemus Abonné
Le 09/02/2024 à 09h 48

wild

Comme dit dans l'article :
«Couplé au nom de famille et à la date de naissance (qui font aussi partie de la fuite) et au code postal de résidence, il peut permettre de créer un compte Ameli si celui-ci n’a pas déjà été créé. Il ne suffirait donc aux pirates que d’identifier le code postal d’un assuré qui n’aurait pas de compte Ameli pour pouvoir en créer un. »

Donc, pour éviter que son compte Ameli ne soit créé par quelqu'un d'autre que toi, autant le créer de ton propre chef. De plus, un compte Ameli permet bien plus que visualiser paiements et remboursements.
J'ai bien lu ça, si j'ai employé le conditionnel c'est parce que déjà il est employé dans le passage cité, et ensuite le code postal n'est apparemment pas concerné par la fuite, donc qu'il faut le trouver d'une autre manière, et ce de manière automatisable vu la quantité.

Et puis, si on va par là, on peut trouver des tonnes de services, gouvernementaux ou non, où on pourrait usurper une identité. On ne va pas créer des comptes partout pour éviter ça (enfin moi je ne le ferai pas). Si c'est FranceConnect qui pose le plus problème, je peux juste désactiver ameli.fr de la liste pour mon profil.

Sinon, le "bien plus" ne m'a pas plus manqué que le reste.
Le 09/02/2024 à 11h 29
Ameli est un fournisseur d'identité FranceConnect.
Quand tu as un compte valide sur Ameli, il est aussi utlisable dans un login FranceConnect avec le fournisseur d'identité Ameli.
Et si tu viens de le créer à l'instant, comme dans l'article, même une protection comme un second facteur ne suffit pas.

Par contre, l'article semble oublier qu'il faut le RIB de l'assuré pour créer un compte Ameli. Et celui-ci n'est pas concerné par cette fuite.
Winderly Abonné
Le 09/02/2024 à 11h 41

Westvleteren

Ameli est un fournisseur d'identité FranceConnect.
Quand tu as un compte valide sur Ameli, il est aussi utlisable dans un login FranceConnect avec le fournisseur d'identité Ameli.
Et si tu viens de le créer à l'instant, comme dans l'article, même une protection comme un second facteur ne suffit pas.

Par contre, l'article semble oublier qu'il faut le RIB de l'assuré pour créer un compte Ameli. Et celui-ci n'est pas concerné par cette fuite.
Faut-il le RIB de l'assuré ou un RIB ?
Le 09/02/2024 à 11h 56

Winderly

Faut-il le RIB de l'assuré ou un RIB ?
Le RIB de l'assuré.
D'après https://www.ameli.fr/tarn-et-garonne/assure/adresses-et-contacts/votre-compte-ameli/creer-votre-compte-ameli
Il faut "préparez votre RIB (celui déjà transmis à votre caisse d'assurance maladie) et votre carte Vitale"
Le numéro de série de la carte sera vérifié.
Modifié le 09/02/2024 à 11h57
potn Abonné
Le 09/02/2024 à 12h 00

Winderly

Faut-il le RIB de l'assuré ou un RIB ?
Un RIB, car d'après leur robot, si tu es mineur, tu donneras le RIB de tes parents. Sauf qu'apparemment il faut avoir 18 ans pour créer un compte AMELI... Bref, à mon avis, tu traficotes les noms sur l'IBAN et Hop !

J'ai l'impression que Inodemus n'a pas bien compris le fonctionnement de France Connect et ses avantages/dangers.
À sa place, je me créerait vite un compte pour avoir la maîtrise du compte, comme indiqué par d'autres plus haut.
On peut faire pas mal de choses avec un compte France Connect...
Bon, apparemment, c'est bloqué pour les impôts actuellement. ^^ Mais pas service-public.fr ni, surtout, l'ANTS...
Inodemus Abonné
Le 09/02/2024 à 12h 28

potn

Un RIB, car d'après leur robot, si tu es mineur, tu donneras le RIB de tes parents. Sauf qu'apparemment il faut avoir 18 ans pour créer un compte AMELI... Bref, à mon avis, tu traficotes les noms sur l'IBAN et Hop !

J'ai l'impression que Inodemus n'a pas bien compris le fonctionnement de France Connect et ses avantages/dangers.
À sa place, je me créerait vite un compte pour avoir la maîtrise du compte, comme indiqué par d'autres plus haut.
On peut faire pas mal de choses avec un compte France Connect...
Bon, apparemment, c'est bloqué pour les impôts actuellement. ^^ Mais pas service-public.fr ni, surtout, l'ANTS...
J'ai parfaitement bien compris l'usage de FranceConnect, je ne sais pas ce qui te fait penser ça. J'ai même écrit en #11 comment il fonctionne et pourquoi dire "pourra créer un compte FranceConnect (s'il n'existe pas encore)" n'a pas de sens. Je développe un site partenaire avec eux donc je sais plutôt bien comment ça marche. Au niveau perso j'ai bloqué les fournisseurs d'identité autres que celui que j'utilise habituellement, donc pas de problème futur entre un éventuel compte ameli.fr et FranceConnect.

Pour ce qui est du reste et du compte ameli.fr lui-même, j'ai déjà suffisamment exposé mon point de vue, recherchez dans mes commentaires. En plus vous (et l'article) occultez des informations importantes, outre déjà le code postal cité qui ne fait pas partie de la fuite, il faut aussi apparemment un bout de l'IBAN qui sert aux remboursements et un bout du numéro de carte Vitale, qui ne font pas partie de la fuite et sont autrement plus compliqués à déterminer en masse qu'un code postal. C'est donc loin d'être juste lancer un script pour se retrouver avec 10 millions de comptes usurpés à disposition dans 1h.
Modifié le 09/02/2024 à 12h48
potn Abonné
Le 09/02/2024 à 15h 48

Inodemus

J'ai parfaitement bien compris l'usage de FranceConnect, je ne sais pas ce qui te fait penser ça. J'ai même écrit en #11 comment il fonctionne et pourquoi dire "pourra créer un compte FranceConnect (s'il n'existe pas encore)" n'a pas de sens. Je développe un site partenaire avec eux donc je sais plutôt bien comment ça marche. Au niveau perso j'ai bloqué les fournisseurs d'identité autres que celui que j'utilise habituellement, donc pas de problème futur entre un éventuel compte ameli.fr et FranceConnect.

Pour ce qui est du reste et du compte ameli.fr lui-même, j'ai déjà suffisamment exposé mon point de vue, recherchez dans mes commentaires. En plus vous (et l'article) occultez des informations importantes, outre déjà le code postal cité qui ne fait pas partie de la fuite, il faut aussi apparemment un bout de l'IBAN qui sert aux remboursements et un bout du numéro de carte Vitale, qui ne font pas partie de la fuite et sont autrement plus compliqués à déterminer en masse qu'un code postal. C'est donc loin d'être juste lancer un script pour se retrouver avec 10 millions de comptes usurpés à disposition dans 1h.
Merci pour la précision. Pour l'IBAN, je vois mal où ils auraient eu l'IBAN dans un premier lieu, pour faire la comparaison : je croyais donc que c'était une information demandée pour les besoins du fonctionnement du compte, pas pour la vérification.

Concernant le code postal, on peut facilement tester les principaux codes postaux liés au numéro de sécurité sociale, le trouver par un autre moyen via des sources ouvertes, ou tester des codes postaux à fortes probabilités comme ceux de Paris, Marseille, Lyon...

Ce qui me faisait penser que vous n'aviez pas compris le fonctionnement de FC était que vous indiquiez ne pas comprendre l'intérêt de créer un compte AMELI alors que plusieurs personnes ont indiqué que c'était pour "bloquer" le squattage par un hacker. Et ne sachant pas que vous aviez bloqué les autres fournisseurs que votre habituel, votre réponse semblait un peu hors sujet.
Le truc, c'est que d'autres que vous pourraient être moins au courant que vous au sujet de France Connect et suivre votre exemple de ne pas créer de compte AMELI, sans pour autant penser à bloquer ce fournisseur du côté de France Connect (car il faut connaître cette possibilité, déjà).

En tous cas, désolé pour la confusion.
Inodemus Abonné
Le 09/02/2024 à 21h 19

potn

Merci pour la précision. Pour l'IBAN, je vois mal où ils auraient eu l'IBAN dans un premier lieu, pour faire la comparaison : je croyais donc que c'était une information demandée pour les besoins du fonctionnement du compte, pas pour la vérification.

Concernant le code postal, on peut facilement tester les principaux codes postaux liés au numéro de sécurité sociale, le trouver par un autre moyen via des sources ouvertes, ou tester des codes postaux à fortes probabilités comme ceux de Paris, Marseille, Lyon...

Ce qui me faisait penser que vous n'aviez pas compris le fonctionnement de FC était que vous indiquiez ne pas comprendre l'intérêt de créer un compte AMELI alors que plusieurs personnes ont indiqué que c'était pour "bloquer" le squattage par un hacker. Et ne sachant pas que vous aviez bloqué les autres fournisseurs que votre habituel, votre réponse semblait un peu hors sujet.
Le truc, c'est que d'autres que vous pourraient être moins au courant que vous au sujet de France Connect et suivre votre exemple de ne pas créer de compte AMELI, sans pour autant penser à bloquer ce fournisseur du côté de France Connect (car il faut connaître cette possibilité, déjà).

En tous cas, désolé pour la confusion.
Pour l'IBAN, je ne sais plus comment je l'ai donné dans un premier lieu, ça fait longtemps, mais ils en ont bien un pour me rembourser. A l'inscription il est demandé d'en saisir la fin, le début étant affiché. Même chose pour le numéro de carte Vitale.

Le code postal me paraît difficilement trouvable de manière automatique (et avec les méthodes que tu as énoncées je suis tranquille pour longtemps), mais bon admettons, ce n'est jamais qu'une seule des 3 infos supplémentaires potentiellement demandées. C'est un gros raccourci que de dire qu'on peut créer des comptes facilement avec le contenu de la fuite, raison pour laquelle je n'y vois pas autant de risque que d'autres.

Modifié le 09/02/2024 à 21h30

Historique des modifications :

Posté le 09/02/2024 à 21h19


Pour l'IBAN, je ne sais plus comment je l'ai donné dans un premier lieu, ça fait longtemps, mais ils en ont bien un pour me rembourser. A l'inscription il est demandé d'en saisir la fin, le début étant affiché. Même chose pour le numéro de carte Vitale.

Le code postal me paraît difficile trouvable de manière automatique (avec les méthodes que tu as énoncées je suis tranquille pour longtemps), mais bon admettons, ce n'est jamais qu'une seule des 3 infos supplémentaires potentiellement demandées. C'est un gros raccourci que de dire qu'on peut créer des comptes facilement avec le contenu de la fuite, raison pour laquelle je n'y voyais pas autant de risque que d'autres.

Posté le 09/02/2024 à 21h21


Pour l'IBAN, je ne sais plus comment je l'ai donné dans un premier lieu, ça fait longtemps, mais ils en ont bien un pour me rembourser. A l'inscription il est demandé d'en saisir la fin, le début étant affiché. Même chose pour le numéro de carte Vitale.

Le code postal me paraît difficilement trouvable de manière automatique (et avec les méthodes que tu as énoncées je suis tranquille pour longtemps), mais bon admettons, ce n'est jamais qu'une seule des 3 infos supplémentaires potentiellement demandées. C'est un gros raccourci que de dire qu'on peut créer des comptes facilement avec le contenu de la fuite, raison pour laquelle je n'y voyais pas autant de risque que d'autres.

potn Abonné
Le 09/02/2024 à 23h 58

Inodemus

Pour l'IBAN, je ne sais plus comment je l'ai donné dans un premier lieu, ça fait longtemps, mais ils en ont bien un pour me rembourser. A l'inscription il est demandé d'en saisir la fin, le début étant affiché. Même chose pour le numéro de carte Vitale.

Le code postal me paraît difficilement trouvable de manière automatique (et avec les méthodes que tu as énoncées je suis tranquille pour longtemps), mais bon admettons, ce n'est jamais qu'une seule des 3 infos supplémentaires potentiellement demandées. C'est un gros raccourci que de dire qu'on peut créer des comptes facilement avec le contenu de la fuite, raison pour laquelle je n'y vois pas autant de risque que d'autres.

OK, je ne savais pas pour l'IBAN ou la Carte Vitale.
C'est effectivement beaucoup plus compliqué dans ce contexte.

Le code postal, c'est certes pas trivial, mais ça se brute-force relativement facilement, vu qu'il y a moins de 40 000 codes postaux.
Bon, la discrétion serait pas là, mais c'est facile à tester au moins.
rm Abonné
Le 08/02/2024 à 15h 50
Quelle honte. J’espère que 1. Les sanctions seront appropriées au regard de ce qui semble être une négligence manifeste de données très personnelles 2. Les mesures seront à la hauteur de ce fiasco…
On sait s’il y aura une plainte groupée des usagers (nous) ? Je m’y associerais bien tient.
Le 09/02/2024 à 16h 37
Le RGPD permet les actions de groupe. Un dossier commun, plus de facilité et de poids dans la procédure.
Jarodd Abonné
Le 08/02/2024 à 16h 04
> Le numéro de sécurité sociale, qui fait partie des données qui ont fuitées, sert d’identifiant pour de nombreux services publics, comme l’explique le site Ameli, « il vous est demandé à chaque fois que vous vous adressez à votre caisse d’allocations familiales (CAF), à votre caisse de retraite, à France Travail (ex-Pôle emploi), à votre mutuelle (ou complémentaire santé) ou encore à une maison départementale des personnes handicapées (MDPH) ».

Merci aux services de l'État qui impose de s'identifier avec le numéro de sécurité sociale (ou pire, France Connect), comme lassuranceretraite.fr ou ameli.fr :cartonrouge:
FeathersMG Abonné
Le 08/02/2024 à 17h 18
A priori une transition de genre permet de changer son identifiant Ameli (mais c'est très long et compliqué).
Et sinon, :chinois: pour l'illustration et le sous-titre de l'article.
Alianirah Abonné
Le 08/02/2024 à 18h 10
Pourquoi FranceConnect est une mauvaise chose selon toi ?
fred42 Abonné
Le 08/02/2024 à 18h 41

Alianirah

Pourquoi FranceConnect est une mauvaise chose selon toi ?
Surtout qu'aucun des 2 sites cités n'obligent à l'utiliser.
Jarodd Abonné
Le 08/02/2024 à 20h 59

Alianirah

Pourquoi FranceConnect est une mauvaise chose selon toi ?
Parce que tu utilises les identifiants de X pour te connecter à Y.
Et ton compte X (ou Y) est compromis, l'autre l'est aussi.

Par exemple, je vais sur impots.gouv.fr > s'identifier avec France Connect > Ameli.fr > "Je me connecte avec mon compte ameli"
Avec la fuite Viamedia / Almerys, le numéro de sécurité sociale a fuité (voir l'actu) donc ton identifiant aux impôts aussi.
Modifié le 08/02/2024 à 21h00
SebGF Abonné
Le 08/02/2024 à 21h 48

Jarodd

Parce que tu utilises les identifiants de X pour te connecter à Y.
Et ton compte X (ou Y) est compromis, l'autre l'est aussi.

Par exemple, je vais sur impots.gouv.fr > s'identifier avec France Connect > Ameli.fr > "Je me connecte avec mon compte ameli"
Avec la fuite Viamedia / Almerys, le numéro de sécurité sociale a fuité (voir l'actu) donc ton identifiant aux impôts aussi.
Rendez-vous sur https://tableaudebord.franceconnect.gouv.fr/, et bloquez l'autorisation pour Ameli.
Modifié le 08/02/2024 à 21h48
Jarodd Abonné
Le 08/02/2024 à 22h 23

SebGF

Rendez-vous sur https://tableaudebord.franceconnect.gouv.fr/, et bloquez l'autorisation pour Ameli.
En fait le mieux est de ne pas l'utiliser :transpi:
Mais je crains qu'un jour cela devienne obligatoire pour accéder à ce services...
SebGF Abonné
Le 09/02/2024 à 07h 40

Jarodd

En fait le mieux est de ne pas l'utiliser :transpi:
Mais je crains qu'un jour cela devienne obligatoire pour accéder à ce services...
Pour moi FranceConnect a une valeur ajoutée, je trouverais regrettable de l'abandonner.

Et FranceConnect+ devient nécessaire sur certains services, comme par exemple la signature numérique des procédures du guichet unique sur le site de l'INPI. Il facilite cette étape, même si elle peut toujours être réalisée manuellement par un autre moyen (que je n'ai pas testé pour le coup, ayant préféré celle de FranceConnect+).

En fait, ce qui lui manque, c'est un MFA pour ajouter une petite couche de sûreté. Mais on tombe dans le difficile équilibre de sécurité versus expérience utilisateur (tout le monde n'a pas de smartphone, compétence des personnes, etc).

Par contre, à ce jour et au vu de son fonctionnement, il est difficile de le rendre obligatoire puisque l'identité est celle d'un service de l'administration en ligne. Pour le rendre obligatoire à 100%, il faudrait un IDP unifié (et donc un SPOF de la mort au vu de sa criticité) pour tous les services de l'Etat français. Techniquement faisable, mais côté orga, au vu de la complexité de la gestion de l'IT dans l'administration, j'y crois pas.
Modifié le 09/02/2024 à 07h42
swiper Abonné
Le 09/02/2024 à 10h 38

SebGF

Pour moi FranceConnect a une valeur ajoutée, je trouverais regrettable de l'abandonner.

Et FranceConnect+ devient nécessaire sur certains services, comme par exemple la signature numérique des procédures du guichet unique sur le site de l'INPI. Il facilite cette étape, même si elle peut toujours être réalisée manuellement par un autre moyen (que je n'ai pas testé pour le coup, ayant préféré celle de FranceConnect+).

En fait, ce qui lui manque, c'est un MFA pour ajouter une petite couche de sûreté. Mais on tombe dans le difficile équilibre de sécurité versus expérience utilisateur (tout le monde n'a pas de smartphone, compétence des personnes, etc).

Par contre, à ce jour et au vu de son fonctionnement, il est difficile de le rendre obligatoire puisque l'identité est celle d'un service de l'administration en ligne. Pour le rendre obligatoire à 100%, il faudrait un IDP unifié (et donc un SPOF de la mort au vu de sa criticité) pour tous les services de l'Etat français. Techniquement faisable, mais côté orga, au vu de la complexité de la gestion de l'IT dans l'administration, j'y crois pas.
Mes souvenirs me rappellent que les démarches administratives doivent toujours avoir un pendant physique pour l'accessibilité des plus modestes, donc c'est pas possible que ce soit obligatoire et l'unique manière de faire.
Le 09/02/2024 à 11h 49

SebGF

Pour moi FranceConnect a une valeur ajoutée, je trouverais regrettable de l'abandonner.

Et FranceConnect+ devient nécessaire sur certains services, comme par exemple la signature numérique des procédures du guichet unique sur le site de l'INPI. Il facilite cette étape, même si elle peut toujours être réalisée manuellement par un autre moyen (que je n'ai pas testé pour le coup, ayant préféré celle de FranceConnect+).

En fait, ce qui lui manque, c'est un MFA pour ajouter une petite couche de sûreté. Mais on tombe dans le difficile équilibre de sécurité versus expérience utilisateur (tout le monde n'a pas de smartphone, compétence des personnes, etc).

Par contre, à ce jour et au vu de son fonctionnement, il est difficile de le rendre obligatoire puisque l'identité est celle d'un service de l'administration en ligne. Pour le rendre obligatoire à 100%, il faudrait un IDP unifié (et donc un SPOF de la mort au vu de sa criticité) pour tous les services de l'Etat français. Techniquement faisable, mais côté orga, au vu de la complexité de la gestion de l'IT dans l'administration, j'y crois pas.
Le MFA (et une identification initiale plus costaud) c'est FranceConnect+ et donc LaPoste
Mais sinon, tous les autres fournisseurs d'identité ont un petit MFA (au moins par mail).
Inodemus Abonné
Le 09/02/2024 à 09h 53

Jarodd

En fait le mieux est de ne pas l'utiliser :transpi:
Mais je crains qu'un jour cela devienne obligatoire pour accéder à ce services...
Ce n'est pas parce que tu ne l'utilises pas que quelqu'un d'autre ne peut pas l'utiliser pour se faire passer pour toi.

Et il n'est pas obligatoire pour certaines démarches sur ants.gouv.fr ? C'était le cas à un moment, mais ça a pu changer.
Modifié le 09/02/2024 à 09h54
Alianirah Abonné
Le 08/02/2024 à 22h 06

Jarodd

Parce que tu utilises les identifiants de X pour te connecter à Y.
Et ton compte X (ou Y) est compromis, l'autre l'est aussi.

Par exemple, je vais sur impots.gouv.fr > s'identifier avec France Connect > Ameli.fr > "Je me connecte avec mon compte ameli"
Avec la fuite Viamedia / Almerys, le numéro de sécurité sociale a fuité (voir l'actu) donc ton identifiant aux impôts aussi.
Ça se tient en partie.

Ils devraient ajouter la double authentification effectivement, au moins la vérification par SMS bien que ce ne soit pas infaillible.
Gldump92 Abonné
Le 14/02/2024 à 17h 03

Jarodd

Parce que tu utilises les identifiants de X pour te connecter à Y.
Et ton compte X (ou Y) est compromis, l'autre l'est aussi.

Par exemple, je vais sur impots.gouv.fr > s'identifier avec France Connect > Ameli.fr > "Je me connecte avec mon compte ameli"
Avec la fuite Viamedia / Almerys, le numéro de sécurité sociale a fuité (voir l'actu) donc ton identifiant aux impôts aussi.
OK ton identifiant utilisateur est compromis, pas le mot de passe, qui lui, n'a pas fuité.
Sauf si on utilise le même mot de passe pour tout, ce qui est déconseillé depuis des années par à peu près tout ce qui parle d'informatique et de sécurité.
Modifié le 14/02/2024 à 17h04

Historique des modifications :

Posté le 14/02/2024 à 17h03


OK ton identifiant utilisateur est compromis, pas le mot de passe, sui lui, n'a pas fuité.
Sauf si on utilise le même mot de passe pour tout, ce qui est déconseillé depuis des années par à peu près tout ce qui parle d'informatique et de sécurité.

Jarodd Abonné
Le 15/02/2024 à 15h 46

Gldump92

OK ton identifiant utilisateur est compromis, pas le mot de passe, qui lui, n'a pas fuité.
Sauf si on utilise le même mot de passe pour tout, ce qui est déconseillé depuis des années par à peu près tout ce qui parle d'informatique et de sécurité.
Il n'y a pas besoin d'avoir le mot de passe pour lancer une campagne de phishing. Avoir l'identifiant et l'e-mail (à 90% [email protected]), c'est justement l'idéal pour lancer la campagne et récupérer les accès complets.
Surcouf Abonné
Le 08/02/2024 à 16h 07
J'ai reçu un mail de Vivinter pour ma part...
Winderly Abonné
Le 08/02/2024 à 17h 12
"il vous est demandé à chaque fois que vous vous adressez...à France Travail (ex-Pôle emploi)"
Pas forcément, je peux toujours m'y authentifier avec mon identifiant ANPE.
Albirew Abonné
Le 08/02/2024 à 19h 44
j'ai encore mon document ANPE, et vu la gueule du mot de passe (6 chiffres seulement, à l'époque), ça fonctionnera sûrement pas...
Winderly Abonné
Le 08/02/2024 à 17h 17
"il peut permettre de créer un compte Ameli si celui-ci n’a pas déjà été créé...La personne malveillante pourra, après la création du compte Ameli, créer un compte FranceConnect au nom de l’assuré (encore une fois si celui-ci n’existe pas encore) et se connecter à la myriade de services publics utilisant ce système."
Bon, je peux m'attendre à des ennuis prochainement.
Quel système de merde.
fred42 Abonné
Le 08/02/2024 à 17h 28
J'ai vu dans une vidéo sur leur site que pour créer un compte Améli, si on a une carte vitale avec photo et un numéro au dos, il faut saisir ce numéro. C'est une bonne protection. Sinon, il faut cliquer pour dire qu'on n'a pas ce numéro, mais la suite n'est pas dans la vidéo.

Il me semble que quand j'ai créé mon compte il y a très longtemps, j'ai reçu un mot de passe par courrier papier, ce qui est aussi une sécurité.
Modifié le 08/02/2024 à 17h28
Winderly Abonné
Le 08/02/2024 à 17h 34

fred42

J'ai vu dans une vidéo sur leur site que pour créer un compte Améli, si on a une carte vitale avec photo et un numéro au dos, il faut saisir ce numéro. C'est une bonne protection. Sinon, il faut cliquer pour dire qu'on n'a pas ce numéro, mais la suite n'est pas dans la vidéo.

Il me semble que quand j'ai créé mon compte il y a très longtemps, j'ai reçu un mot de passe par courrier papier, ce qui est aussi une sécurité.
Pas de photo sur la mienne, et le numéro derrière est devenu difficile à lire.
Le 09/02/2024 à 11h 46

fred42

J'ai vu dans une vidéo sur leur site que pour créer un compte Améli, si on a une carte vitale avec photo et un numéro au dos, il faut saisir ce numéro. C'est une bonne protection. Sinon, il faut cliquer pour dire qu'on n'a pas ce numéro, mais la suite n'est pas dans la vidéo.

Il me semble que quand j'ai créé mon compte il y a très longtemps, j'ai reçu un mot de passe par courrier papier, ce qui est aussi une sécurité.
Il faut le RIB aujourd'hui.
Le numéro de série de la Carte Vitale (objet que tu donnes à de nombreuses personnes) n'est plus considéré fiable.
https://www.ameli.fr/tarn-et-garonne/assure/adresses-et-contacts/votre-compte-ameli/creer-votre-compte-ameli
Benthol Abonné
Le 08/02/2024 à 17h 36
Apparemment, ma mutuelle d'entreprise fait l'autruche par rapport à cette fuite. Aucun contact de leur part, aucune mention de la fuite sur le site web...
Je trouve que c'est inadmissible vu l'ampleur et la gravité de la fuite de données.
fred42 Abonné
Le 08/02/2024 à 17h 38
Elle n'est peut-être pas concernée.
Benthol Abonné
Le 09/02/2024 à 11h 03

fred42

Elle n'est peut-être pas concernée.
C'est une mutuelle qui passe par Viamedis, donc concernée.
Et ce matin, j'ai enfin reçu un mail d'information à ce sujet.
Alianirah Abonné
Le 08/02/2024 à 18h 05
Ce sont les prestataires Viamedis et Almerys qui sont victimes seulement.
Le 08/02/2024 à 18h 42

Alianirah

Ce sont les prestataires Viamedis et Almerys qui sont victimes seulement.
Les autres prestas ont visiblement coupé leurs services, exemple oxantis (utilisé par harmonie mutuelle).

Il y a des chances que dans pas longtemps on ait l’info qu’en fait 100% des personnes sont concernées par la fuite…

Les pratiques informatiques dans le milieu médical (mutuelles, opticiens & co compris) sont juste à chier.
Raikiwi Abonné
Le 09/02/2024 à 09h 00

bilbonsacquet

Les autres prestas ont visiblement coupé leurs services, exemple oxantis (utilisé par harmonie mutuelle).

Il y a des chances que dans pas longtemps on ait l’info qu’en fait 100% des personnes sont concernées par la fuite…

Les pratiques informatiques dans le milieu médical (mutuelles, opticiens & co compris) sont juste à chier.
Je suis chez Filhet-Allard et on a reçu un mail indiquant qu'ils ne sont pas impacter par cette fuite.
Le 09/02/2024 à 09h 26

Raikiwi

Je suis chez Filhet-Allard et on a reçu un mail indiquant qu'ils ne sont pas impacter par cette fuite.
Par cette fuite probablement, mais qui sait s'ils ne sont pas concernés par une autre fuite… bref, la CNIL a du pain sur la planche !
Winderly Abonné
Le 09/02/2024 à 09h 55

bilbonsacquet

Par cette fuite probablement, mais qui sait s'ils ne sont pas concernés par une autre fuite… bref, la CNIL a du pain sur la planche !
Peut être par la prochaine fuite. :transpi:
Raromatai Abonné
Le 08/02/2024 à 20h 30
Normalement, si votre mutuelle passe par l'un de ces prestataires, c'est mentionné sur la carte de tiers payant
aware2 Abonné
Le 08/02/2024 à 18h 21
Moi qui fonctionne avec un alias unique pour chaque site, ça va être difficile de changer de numéro de sécu :D
Blague à part, la connexion à France Connect via Ameli est indisponible depuis... longtemps ? fin 2022 ?
Modifié le 08/02/2024 à 18h22
Inodemus Abonné
Le 08/02/2024 à 20h 06
Ah ben tant mieux alors, il n'y aura pas d'usurpation grâce à FranceConnect.
Le 09/02/2024 à 11h 51
Ameli est de nouveau un fournisseur d'identité, ils ont ajouté un MFA par mail.
aware2 Abonné
Le 09/02/2024 à 18h 01

Westvleteren

Ameli est de nouveau un fournisseur d'identité, ils ont ajouté un MFA par mail.
En effet, par contre toujours indisponible sur le site des impôts.
vince120 Abonné
Le 08/02/2024 à 19h 37
Si la cnil s'en occupe alors tout va bien, le dossier devrait être classé avec un rappel à la loi dans 20 minutes.
Le 08/02/2024 à 21h 17
En résumé, tous les français ayant une mutuelle... Bravo, niveau epic fail c'est balèze! Et la CNIL qui se branle dans les coins pour mieux arroser les murs.
Ce cirque autour de la sécurité qui bouche les trous de souris en laissant les gouffres de Padirac ouverts à la visite....
jjo Abonné
Le 09/02/2024 à 16h 22
Parce que pour vous la CNIL est responsable ?
Le 09/02/2024 à 11h 28
Avec l’état civil et le numéro de sécurité sociale, en plus de pouvoir créer un AMELI et utiliser FranceConnect, l’usurpateur peut se rendre à la mairie de naissance, demander un acte, solliciter et annuler une carte d’identité, contracter un crédit ou ouvrir un compte en banque…

En somme, ce n’est pas à prendre à la légère, et personnellement, cela m’angoisse de voir ces données circuler librement. Qui sait, dans 5 ans, 10 ans, 20 ans, une usurpation pourrait survenir. Le fait que même l’état civil des enfants affiliés soit accessible laisse songeur, et il est extrêmement révoltant de savoir que si une usurpation se produit, la victime sera seule pour tenter de corriger la situation.

Lorsque l’on constate que les gouvernements souhaitent mettre en place une identité numérique pour mieux surveiller les citoyens, cela constitue la preuve que c’est la pire chose à faire.

Personnellement, j’essaie de sécuriser au maximum mes comptes et mes données, car je prends cela très au sérieux. Mais que faire lorsque les organismes d’État sont complètement dépassés ?
Modifié le 09/02/2024 à 11h31
Surcouf Abonné
Le 09/02/2024 à 13h 17
https://www.vivinter.fr/wp-content/uploads/2024/02/Communication-faille-donnees-Vivinter-07022024-1.pdf
Surcouf Abonné
Le 09/02/2024 à 20h 07
PERSONNES CONCERNÉES PAR LA FAILLE

Tous les assurés ne sont pas touchés au regard du mode opératoire de l’attaque sur les opérateurs de tiers payant.
Une information individuelle sera réalisée par VIVINTER à partir du 12 février, via une information disponible sur l'espace assuré ou sur simple appel auprès du centre de relation client.
fred42 Abonné
Le 09/02/2024 à 20h 29

Surcouf

PERSONNES CONCERNÉES PAR LA FAILLE

Tous les assurés ne sont pas touchés au regard du mode opératoire de l’attaque sur les opérateurs de tiers payant.
Une information individuelle sera réalisée par VIVINTER à partir du 12 février, via une information disponible sur l'espace assuré ou sur simple appel auprès du centre de relation client.
>Une information individuelle sera réalisée par VIVINTER à partir du 12 février, via une information disponible sur l'espace assuré ou sur simple appel auprès du centre de relation client.

Je les trouve légers sur 2 points :
Le délai de communication vers les assurés. Cela ne me semble pas conforme aux meilleurs délais demandés par l'article 34 du RGPD. On peut comprendre que ça soit un peu plus long que prévenir la CNIL, mais la seconde fuite est connue au moins depuis le 6/02. Ne communiquer que le 12/02 me semble tardif.

Second point : une information sur l'espace assuré n'est pas un moyen convenable puisque certains assurés peuvent aller rarement dans cet espace. Il faut au moins un message envoyé par mail ou SMS annonçant le problème et revoyant vers cet espace . Quant à la communication si on les appelle, je préfère ne rien en dire, je deviendrais discourtois !
Surcouf Abonné
Le 09/02/2024 à 20h 37

fred42

>Une information individuelle sera réalisée par VIVINTER à partir du 12 février, via une information disponible sur l'espace assuré ou sur simple appel auprès du centre de relation client.

Je les trouve légers sur 2 points :
Le délai de communication vers les assurés. Cela ne me semble pas conforme aux meilleurs délais demandés par l'article 34 du RGPD. On peut comprendre que ça soit un peu plus long que prévenir la CNIL, mais la seconde fuite est connue au moins depuis le 6/02. Ne communiquer que le 12/02 me semble tardif.

Second point : une information sur l'espace assuré n'est pas un moyen convenable puisque certains assurés peuvent aller rarement dans cet espace. Il faut au moins un message envoyé par mail ou SMS annonçant le problème et revoyant vers cet espace . Quant à la communication si on les appelle, je préfère ne rien en dire, je deviendrais discourtois !
Je n'ai pas précisé, mais j'ai eu un mail en début de semaine. Mais le mail est générique pour 100% des abonnés.
fred42 Abonné
Le 10/02/2024 à 00h 08

Surcouf

Je n'ai pas précisé, mais j'ai eu un mail en début de semaine. Mais le mail est générique pour 100% des abonnés.
OK, ça change tout dans ce cas.
jpaul Abonné
Le 09/02/2024 à 16h 06
Il y a moyen de savoir si l’on est concerné ?

Ma mutuelle qui utilise bien Viamedis s’est empressée d’envoyer un mail pour communiquer que ses clients n’étaient pas concernés et ça me semble très louche comme communication.
Le 09/02/2024 à 16h 40
ça sent la gestion de crise à l'emporte-pièce tout ça ! j'aimerais savoir comment ils peuvent être aussi sûrs que vous et ses adhérents n'êtes pas concernés...
Le 09/02/2024 à 17h 36
Il faut qu'ils donnent des preuves de cela.

Le probleme est que pour l'instant les assurés doivent faire des demandent a Viamedis de facon individuel et qu'ils ne sont deja pas capable de repondre.

L'application de RGPD est clairement pas faire en tout cas, de plus a ce niveau ce n'est pas aux assurés de faire les demarches necessaire.
Modifié le 09/02/2024 à 17h36
Surcouf Abonné
Le 09/02/2024 à 20h 08
#22.1
Surcouf Abonné
Le 10/02/2024 à 08h 47
Il est possible de porter plainte : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/violation-de-donnees-personnelles-viamedis-almerys-formulaire-lettre-plainte-electronique
wild Abonné
Le 10/02/2024 à 16h 24
Pour les victimes, porter plainte en ligne, ça apportera quoi concrètement ?
Genre un somme forfaitaire que le coupable devra reverser, ou une protection en cas de problème futur en cas de phishing à cause des infos dévoilées ?
Le 10/02/2024 à 22h 17

wild

Pour les victimes, porter plainte en ligne, ça apportera quoi concrètement ?
Genre un somme forfaitaire que le coupable devra reverser, ou une protection en cas de problème futur en cas de phishing à cause des infos dévoilées ?
J'imagine qu'il faudra quand meme le faire ne serait ce que pour commencer la longue lutte pour la tentative de reprise de l'identité. Mais vu que rien ne peut etre fait pour proteger la victime, rien n'indique qu'il n'y a pas plusieurs groupes de personnes qui vont pendant des années essayer d'usurper l'identité.

Une solution durable serait de modifier les numeros de SS. Autant dire que ce ne sera pas fait.
Le 11/02/2024 à 13h 48
Il faudra aussi voir la sécurisation de l'accès. Le 2FA était-il en place ?
Vu les négligences probables, les clients ne pourraient-ils pas porter plainte pour négligence ?
J'ai l'impression que seule une grosse amende/peine pour ce motif ferait bouger les choess.