N’importe qui pouvait lire les courriers d’Ameli
L'ANSSI alertée, deux failles corrigées
Le 18 décembre 2019 à 14h46
7 min
Internet
Internet
Une modification triviale dans l'URL des pièces jointes adressées par l'assurance maladie permettait d'accéder à des courriers adressés à d'autres assurés. Après avoir alerté l'ANSSI en urgence, nous avons contacté Ameli, qui a corrigé la faille. Cherchant à le vérifier, nous avons alors découvert une seconde fuite de données...
Un lecteur de Next INpact nous a alerté fin novembre au sujet d'une faille de sécurité affectant la messagerie d'ameli.fr, le portail de Caisse nationale de l'Assurance Maladie (CNAM).
Refroidi par l'affaire Bluetouff, qui avait été condamné pour piratage informatique après avoir découvert des fichiers de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES) dans des répertoires non protégés, il n'osait pas contacter Ameli pour leur notifier la brèche.
Le mode opératoire ? Simplissime : il suffisait de modifier le numéro identifiant les fichiers PDF adressés en pièce jointe pour accéder à des courriers adressés à d'autres assurés.
S'il n'était pas possible de cibler un individu en particulier, nous n'en avons pas moins pu, de la sorte, accéder aux noms, prénoms, adresses, n° de sécurité sociale, demandes de documents et de renseignements, attestations de prise en charge ou de refus de soin (au motif que « le bénéficiaire du soin s'est déplacé sur le territoire suisse pour se faire soigner »), parfois accompagnées de pièces jointes (arrêt de travail, notamment) de plusieurs autres assurés.
Faute de pouvoir trouver un moyen de contacter en urgence l'assurance-maladie en plein week-end, nous avons profité de la disposition introduite par la loi pour une République numérique en 2016 pour alerter l'ANSSI de cette vulnérabilité, sans (trop) risquer d'être accusé d'avoir compromis Ameli.
Pas d'impunité pénale
Son article 47 avait en effet modifié le code de la défense pour y préciser qu'« une personne de bonne foi qui transmet à la seule autorité nationale de sécurité des systèmes d’information une information sur l’existence d’une vulnérabilité concernant la sécurité d’un système de traitement automatisé de données » ne saurait être dénoncée au procureur de la République.
Ainsi, plus exactement, cette disposition empêche l'ANSSI d'avoir à dénoncer automatiquement les faits de piratage informatique – ou d'atteintes à un système de traitement automatisé de données (ou STAD), dans le jargon – mais sans introduire d'immunité pénale (voir Signalements des failles : à l’ANSSI, pas de raz-de-marée après la loi Lemaire).
Dit autrement, le chercheur qui viendrait à sonner à la porte de l'agence pourrait toujours être attaqué par le propriétaire du système faillible, quand bien même celui-ci serait en délicatesse sur le terrain du RGPD et sa sacro-sainte obligation de sécurité (voir Le RGPD expliqué ligne par ligne (articles 1 à 23)).
En l'espèce, la politique de protection des données personnelles de la CNAM précise bien que « des politiques de protection des systèmes d’information (PSSI) sont mises en œuvre. Toutes les précautions utiles sont prises pour assurer la sécurité et la confidentialité de vos données personnelles, notamment pour empêcher leur perte, altération, destruction ou utilisation par des tiers non autorisés ».
Nous aurions aimé en savoir plus
Le lundi suivant, le service de presse d'Ameli, que nous avions contacté dans la foulée, accusait réception de notre alerte et précisait qu'il reviendrait vers nous « dès que possible ». L'après-midi, la faille était encore exploitable.
Nous voulions en savoir plus sur l'historique de cette faille de sécurité, si elle avait été exploitée, mais également pourquoi et comment une faille aussi triviale avait pu être possible, ce qui avait été entrepris pour la colmater, et éviter qu'un tel incident ne se reproduise, si l'incident avait été déclaré à la CNIL, et de quand datait le dernier audit de sécurité.
Quatre jours plus tard, le service de presse d'ameli nous répondait laconiquement que « la situation que vous avez bien voulu nous signaler avait bien été identifiée par nos équipes de sécurité et corrigée depuis, pour bloquer toute récupération aléatoire de correspondance depuis l’espace personnel du compte ameli. Nous avons également veillé à informer la Cnil à ce sujet ».
Pour autant, et « afin de protéger les dispositions que nous prenons pour assurer la sécurité des données personnelles, vous comprendrez que nous ne pouvons divulguer aucune information concernant les modalités de nos audits de sécurité, tant sur leur périmètre que sur leur périodicité ».
Une deuxième fuite de données, découverte dans la foulée
Désormais, les URL modifiées renvoient à une page d'erreur intitulée « Visualisation de fichier » précisant « Service indisponible », page que Google avait archivée le mercredi précédent à 2 h du matin. Il ne nous a pas été possible de savoir ni depuis quand la faille existait, ni quand elle avait été corrigée.
Ce faisant, cherchant à vérifier quelles autres pages étaient archivées par Google, nous avons découvert une dizaine d'autres pages personnalisées de confirmation d'inscription affichant les noms et prénoms d'assurés.
S'il est quelque peu étonnant de voir de telles pages archivées par Google, elles ne permettaient pas d'obtenir d'autres données personnelles, contrairement à la première faille. La plus vieille page avait été archivée le 15 septembre, la plus récente ce dimanche 8 décembre, et donc après que le premier problème ait été corrigé.
Et sans que l'on comprenne pourquoi Google n'aurait archivé que 11 pages seulement, sinon que le fichier robots.txt, censé préciser aux robots ce qu'il est permis (ou interdit) d'indexer, n'existait pas et affichait un gros (et gras) « Action Interdite », Ameli laissant donc n'importe quel robot indexer n'importe quelle page.
De nouveau contactée, la CNAM nous répond, une semaine plus tard, que les deux problèmes « sont bien d’origine et de nature différentes. Concernant la seconde, son impact est moindre, dans la mesure où l’indexation des pages ainsi affichées ne permet pas l’accès à des courriers d’un tiers. Nous avons réalisé les correctifs nécessaires et demandé à Google la suppression des pages qui avaient été ainsi référencées ».
Pour autant, et une semaine après l'avoir alertée à ce sujet, il était toujours possible de consulter les pages en question via le cache de Google, mais aussi et surtout directement sur ameli.fr. Et nous avons également découvert que certaines d'entre-elles avaient depuis été réarchivées par Google, la dernière l'ayant été le dimanche 15 décembre, veille de la réponse d'Ameli.
En l'espèce, le fichier robots.txt n'avait toujours pas été corrigé, ce dimanche 15 décembre, et continuait d'afficher « Action interdite ». Il n'a été modifié que ce lundi 16, pour n'autoriser les crawlers des moteurs à n'indexer que la seule « page requise, soit page d’accueil au compte ameli, et uniquement celle-ci », nous répond l'assurance maladie.
La CNAM précise que « nos services juridiques ont bien demandé à Google la suppression des liens de confirmation d’ouverture/fermeture de comptes ainsi archivés, demande qui n’a pas encore abouti et que nous continuons de suivre auprès des services de Google. Par ailleurs, il nous reste une amélioration à apporter au niveau du processus de validation des emails des assurés qui créent un compte personnel sur Ameli pour éviter que ces quelques indexations ne se reproduisent : ce sera fait courant janvier. Cependant, il convient de souligner que les quelques liens ainsi référencés ne permettent pas d’accéder aux espaces personnels des assurés ; en effet, en cliquant sur les deux liens présents dans l’email de confirmation, ils renvoient vers la page d’accueil et nécessitent de nouveau, la saisie des identifiants et des mots de passe des assurés sociaux concernés ».
« Nous continuerons de tout mettre en œuvre pour protéger la sécurité des données de nos différents publics (assurés, professionnels de santé et employeurs) », conclut l'assurance maladie, sans expliquer cela dit ce pourquoi le problème avait ainsi pu perdurer plusieurs mois.
N’importe qui pouvait lire les courriers d’Ameli
-
Pas d'impunité pénale
-
Nous aurions aimé en savoir plus
-
Une deuxième fuite de données, découverte dans la foulée
Commentaires (74)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 19/12/2019 à 08h43
" />
Reste à savoir si ses mollets sont moulés…
" />
Le 19/12/2019 à 09h23
Ce serait bon à savoir, un membre de la rédaction peut-il nous répondre ?
Le 19/12/2019 à 09h49
Le 19/12/2019 à 10h05
C’est rigolo ça, je travaille à l’Assurance maladie et personne n’en a parlé en interne…
Le 19/12/2019 à 10h07
La vraie info, c’est que quand un citoyen découvre un problème pareil, il a peur de contacter l’administration et préfère contacter les médias…
Le 19/12/2019 à 10h27
Le 19/12/2019 à 10h33
Bah si, la situation est claire : quoique tu fasses, tu risques un procès.
Le 19/12/2019 à 10h41
Vu comme ça en effet, c’est bien synthétisé :P
Le 19/12/2019 à 10h49
en fait y’a pas de question: tu risques des poursuites dans tous les cas.
la seule chose qui a été modifiée c’est que l’administration concernée (l’ANSSI) n’est plus tenue de te dénoncer au procureur quand elle estime que tu es de bonne foi. c’est tout, et ça ne concerne que l’ANSSI.
Le 19/12/2019 à 11h18
C’est vachement incitatif. Moralité : si tu découvres une faille, tu fermes ta g*/@$%.
Le 19/12/2019 à 11h34
Le 19/12/2019 à 11h49
Vous allez tous finir en garde à vue, à force d’utiliser sciemment Gogleuh à la Bluetouff. Il serait temps de passer à Qwant ! Lui, au moins, utilise un cache de 2007, aucune chance (?) d’y trouver une faille récente ! " />
Le 19/12/2019 à 14h15
Je répond à OB qui évoque plusieurs situations:
1- “Est-ce que je donne l’info à un journaliste qui, lui, va pouvoir prendre & publier les documents ?”
2- “Est-ce que je prends moi-même (en me protégeant) les documents et les files à un journaliste ?”
Dans la situation 1 à laquelle je répond dans le post que tu cites, le tiers fourni au journaliste l’info qu’une faille existe, et c’est le journaliste qui va chercher les docs. dans ce cas il me semble bien que rien ne protège le journaliste, puisque c’est lui-même qui commet une intrusion et se maintient dans un STAD, comme dans le cas Bluetouff.
dans la situation 2 par contre, il s’agit d’un tiers qui fourni les docs au journaliste. Là c’est effectivement différent et c’est le cas le plus classique du lanceur d’alerte qui fourni des docs à la presse.
Mais on voit bien que dans tous les cas il vaut mieux passer par la presse au lieu d’aller directement voir l’ANSSI. ^^
Le 19/12/2019 à 14h16
non, mais tu réfléchis à 2 fois avant de l’ouvrir, et c’est bien dommage on est d’accord.
Le 19/12/2019 à 15h24
Le 19/12/2019 à 15h51
Exactement comme dans l’exemple ici, en modifiant l’url d’accès au courrier accessible dans ton espace numérique.
Le 19/12/2019 à 16h01
Même les courriers papier, n’importe qui peut les lire ! J’en ai reçu un dernièrement dont l’enveloppe n’était pas fermée…
Le 19/12/2019 à 16h51
En l’occurrence c’était visiblement une arnaque bien organisée.
Après à titre perso, je me suis fait voler plusieurs fois des tickets restau (mon ex employeur les renvoyait alors en LRAR…). En même temps le courrier était simple à repérer puisque le carnet déformait l’enveloppe…
Après 3 dossiers à la Poste (un par mois en gros), j’ai fini par aller porter plainte au commissariat. Hasard ou non, le mois suivant j’ai reçu mes tickets sans soucis et après pareil.
Était-ce un connard à la poste ? Aucune idée et je m’en tape.
Dans le cas des CESU, ça semble être le même format de carnet donc aisément repérable aussi et le pli portait les entêtes du Conseil départemental.
http://www.leparisien.fr/seine-saint-denis-93/pres-de-400-000-euros-de-cheques-c…
Le 19/12/2019 à 17h48
nice
Le 19/12/2019 à 17h51
Du coup vous avez attrapé un gros paquet de données perso … c’est pas très RGPD tout ça !
Le 19/12/2019 à 17h56
J’ai eu ce genre d’interrogation lorsque j’ai trouvé un faille sur le site de l’agence mondiale anti dopage, plus précisément à l’endroit où se connectent les athlètes pour signaler leur géolocalisation. Un injection XSS permettait de falsifier le champ du mot de passe et on pouvait mettre son propre formulaire pour intercepter le mot de passe, puis l’utiliser.
L’agence à mis plusieurs mois à corriger malgré mes relances aux services de dev (basé au canada). J’ai trouvé la faille, filmer le POC mais je n’ai pas fait d’exploitation réelle de peur d’être coupable d’intrusion. Du coup on se sait pas trop comment prouver notre bonne foi.
Ma question est : étant un site non français, l’ANSI aurait elle été compétente ?
Le 20/12/2019 à 09h27
Le 20/12/2019 à 09h28
Le 20/12/2019 à 12h42
Il serait donc grâce à sa découverte devenu propriétaire de la faille. J’ai encore un peu de mal.
Le 20/12/2019 à 12h52
C’est juste une expression qui n’a aucun sens, inventée (dans le bon sens, là) par des gens en mal de reconnaissance…
Le 20/12/2019 à 13h38
peut-être pas mais ils peuvent te rediriger vers l’autorité compétente du pays en question par contre.
Le 20/12/2019 à 16h14
L’inventeur est le découvreur, rien de plus. L’exemple donné par le Larousse pour “illustrer” le mot est la découverte d’un trésor. Dans le cas d’un trésor l’inventeur en devient le propriétaire (avec quelques subtilités dans les faits) mais ce n’est qu’un exemple.
Le 20/12/2019 à 18h14
Dans ce cas, quel est l’intérêt d’utiliser le mot inventeur à la place de découvreur ?
Le 20/12/2019 à 19h40
Le 20/12/2019 à 19h45
Quel est l’intérêt de manger des frites plutôt que des potatoes?
Quel est l’intérêt de conduire une C3 plutôt qu’un Clio?
Quel est l’intérêt d’aller son enfant Christophe plutôt qu’Olivier?
La langue française est riche et variée et j’aime simplement l’utiliser de façon étendue, rien de plus.
Le 18/12/2019 à 18h21
Moi je suis sur que lecteur c’est Shaft !
Le 18/12/2019 à 18h54
Le biais d’interprétation vient du fait que l’ANSSI ne portera pas plainte, pas qu’il n’y aura pas de plainte. La plainte peut venir de la société dénoncée, d’une saisine directe du procureur ou d’une tierce personne
Celui qui montre le danger semble souvent plus dangereux que le danger lui même.
Le 18/12/2019 à 19h04
après une bière, j’ai lu mediocrité, puis j’ai relu quand même :) tant d’honneteté c’est trop gros
Le 18/12/2019 à 19h13
“N’importe qui pouvait lire les courriers d’Amelie”
Des cartes postales avec des nains de jardin, normal que tout le monde pouvait les lire.
Le 18/12/2019 à 19h29
La NSA et les assureurs vous remercient encore, et vous contacteront bientôt pour vous proposer tous les traitements adéquats à vos pathologies. Et si vous êtes dirigeant français, vous pouvez déjà profiter en exclusivité de notre grande promotion du week-end : la schnouff à -50% et 2kg de beuh gratuite pour toute vente de barrage hydraulique, entreprise innovante, et destruction de service public ! ;)
Le 18/12/2019 à 21h02
Un bel Ameli melo" />
Le 18/12/2019 à 21h10
Le 18/12/2019 à 22h34
Heeeeu ce sont les mêmes guignols qui vont s’occuper des cartes vitales avec empreintes digitales ?
Le 18/12/2019 à 22h45
J’aime beaucoup le courrier montré en exemple, pour un refus de prendre en charge des frais en Suisse, avec le caviardage qui laisse dépasser négligemment un petit Levallois Perret, justement le jour du procès en appel des Balkany. Très fort.
Le 19/12/2019 à 06h26
Dans la même catégorie truc conçu sans penser à la question de la sécurité : des milliers de chèques emploi services ont été détournés. De simples vols de courriers pour lesquels il suffit ensuite de s’inscrire sur un site et y adjoindre un RIB pour toucher l’argent.
Le 19/12/2019 à 07h12
Non, mais d’autre moteur de recherche peut être.
Voir même YaCy si ça a été indexé par un node " />
Le 19/12/2019 à 07h17
Le 19/12/2019 à 07h17
Moi pour ça je me pose une question bien plus grave avec leurs conneries. Si tu souffres d’adermatoglyphie avec leur nouvelle carte vitale, tu dis adieu aux remboursements ? C’est quoi l’alternative ?
Le 19/12/2019 à 07h56
Il y aura de toute façon des procédures prévues pour les gens qui n’ont pas leur carte vitale (ne serait-ce que vol, perte etc.).
“À ce jour, quatre familles dans le monde possèdent cette particularité” (Wikipédia)
Aussi chiant que ça puisse être pour eux qui n’ont rien demandé, je ne pense pas qu’il soit raisonnable de bâtir une politique publique avec pour objectif que la méthode ‘normale’ couvre l’absolue totalité des gens.
Le 19/12/2019 à 08h08
si j’en crois Wikipedia, cela ne concerne que 4 familles dans le monde dont au moins une est Suisse.
ça va y a pas péril en la demeure et je pense qu’on doit pouvoir trouver plus percutant comme argument " />
(mais merci pour le mot nouveau qui pourrait permettre à certains de ne plus utiliser empruntes à la place d’empreintes et roxxer au scrabble " /> )
grilled " />
Le 19/12/2019 à 08h16
C’est surtout un exemple pour être chiant sur l’effet “point d’entrée” unique " />
Du moment qu’il reste une possibilité de se passer de la carte vitale pour ne pas être lésé.
Le 18/12/2019 à 15h42
Eh non " />
Le 18/12/2019 à 15h44
justement le “fouiner” est interdit.
et j’ai mis “à priori” à dessein: l’ANSSI ne va pas te dénoncer, mais l’entité responsable du site peut tout à fait le faire, surtout si tu as scanné leur site à la recherche de failles.
Le 18/12/2019 à 15h45
c’est ça, faut se cacher derrière le secret des sources, et on est bien d’accord que c’est pas normal.
Le 18/12/2019 à 15h45
Merci pour cette info ! " />
Par contre vous avez pas honte de mettre en image un courrier adressé au Balkany ??? " />
Le 18/12/2019 à 15h48
Absolument pas, c’est ce qui est écrit dans l’article.
Le fait de signaler à l’ANSSI n’oblige pas l’ANSSI à te dénoncer, mais:
1- elle peut tout de même le faire si elle le juge pertinent (je suppose que ça dépendra du système et de la bonne fois qui transparait dans ton rapport)
2- la ‘victime’ peut porter plainte contre toi pour intrusion et/ou maintien dans un SADT
Par contre, le fait d’avoir informé l’ANSSI va clairement jouer en ta faveur lors de cet éventuel procès.
Ce qui jouera aussi beaucoup, c’est ce que tu as fait de cette faille. Si tu as ouvert un unique document d’une tierce personne, réalisé que c’est pas normal et signalé, ta bonne foi sera facile à démontrer. Si tu as téléchargé 200000 documents d’autres assurés avant de signaler la faille, tu va avoir des gros soucis.
Pour rappel, Bluetouff ne s’est pas fait condamner pour avoir trouvé des documents sur Google comme c’est souvent dit, mais pour avoir continué à les télécharger en masse après des actions qui ont été interprétées par le tribunal comme prouvant qu’il avait conscience que les documents n’avaient pas vocation à être publics (interprétation critiquable, c’est le coeur de la polémique).
Par contre sur la partie intrusion, le tribunal l’a explicitement relaxé justement parce qu’il était indéniable qu’il ne l’avait pas fait sciemment.
Edit: je comprends mieux ce que tu dis à la lueur des commentaires que tu as fait pendant que je tapais le mien " />
Le 18/12/2019 à 15h49
c’est exactement la même faille qu’il y a quelques mois chez Boulanger où on pouvait retrouver les factures d’autres personnes en modifiant l’identifiant dans l’URL.
et j’avoue que c’est un truc que je tente systématiquement quand je vois que l’url s’y prête. " />
Le 18/12/2019 à 15h49
c’est exactement ce que je dis hein. ^^
edit: pour préciser, Bluetouff s’est fait épingler non pas pour l’accès frauduleux mais pour le maintien frauduleux dans un système de traitement automatisé de données. et ça couvre le scan et la fouille un peu trop minutieuse dont je parle.
Le 18/12/2019 à 16h12
Le 18/12/2019 à 16h31
“Pour autant, et « afin de protéger les dispositions que nous prenons
pour assurer la sécurité des données personnelles, vous comprendrez que
nous ne pouvons divulguer aucune information concernant les modalités
de nos audits de sécurité, tant sur leur périmètre que sur leur
périodicité ».”
" />
C’est de l’or, merci nextinpact !
Le 18/12/2019 à 16h41
inventeur ? " />
Le 18/12/2019 à 16h56
Comme pour les trésors : découvreur.
Le 18/12/2019 à 17h00
D’un côté je ne vois pas trop ce qu’on peut faire de vraiment satisfaisant d’un point de vue légal.
On ne peut pas donner l’immunité à ceux qui informent l’ANSSI d’une faille, ça serait trop facile. J’ai déjà eu l’occasion de voir des cas assez différents de signalement d’une faille:
Cas 1: Les logs du serveur web affichaient qques centaines de tentatives automatisées standards sur le site web, rien de clairement forgé sur mesure ni d’exploitation après constat de la faille => remerciement, fin de l’histoire.
Cas 2: les logs contenaient les mêmes tentatives automatisées, mais après un certain temps aussi quelques requêtes offusquées, qui après analyse consistaient à déposer un webshell. Les logs des parefeux laissent penser que le webshell a été utilisé pour cartographier le réseau autour du serveur compromis => dépôt de plainte.
Il faut donc forcément qu’à un moment quelqu’un analyse ce qu’a réellement fait le ‘chercheur’ et juge si oui ou non ça mérite de le poursuivre en justice.
Le problème est que ça ouvre la porte à une politique d’intimidation par l’action en justice systématique, et que certaines entreprises ou administration n’ont pas compris que secret != sécurité (ya qu’à voir la déclaration sur les audits de sécurité de cet article).
Le 18/12/2019 à 17h03
Pourquoi améli ne contacte que Google ? Il n’existe pas d’autres moteurs de recherche qui se basent sur robots.txt ? " />
Le 18/12/2019 à 17h12
Fais attention, tu risques de leur apprendre des choses (à supposer qu’ils lisent nxi).
Le 18/12/2019 à 17h37
La faille date d’après 2017 donc Qwant ne dispose pas de ses pages dans son index
" />
Le 18/12/2019 à 18h18
Un contrôle Urssaf de Nxi ne serait pas étonnant." />
Avec de la chance, ils pourrait tomber sur un contrôler lecteur de NXI." />
Le 18/12/2019 à 14h58
Et dire qu’un prestataire à du être payé grassement pour réaliser ce site … le copinage et l’amateurisme ont leurs limites !
Le 18/12/2019 à 15h08
tu penses que ça va mordre? " />
Le 18/12/2019 à 15h10
A une époque, Manpower, la boîte d’intérim avait exactement le même problème. J’avais cherché à les contacter, mais sans page de contact, c’était difficile. J’avais laissé tomber. Aujourd’hui la faille semble corrigée.
Pour en revenir, une chose n’est pas claire : un “chercheur” qui signale la faille peut être poursuivi ou pas du coup ? Et selon quels chefs d’accusation il peut l’être et quels il ne peut pas ?
Parce que bon… Entre les affaires Bluetouff, Zataz et d’autres (SNCF…), signaler des failles est risquée. Ça serait bien d’être au courant de ce qu’on risque.
Le 18/12/2019 à 15h14
s’il passe par l’ANSSI à priori non, s’il est de bonne foi.
ici en l’occurrence ça passe, car c’est une faille détectable facilement. si tu arrives avec un truc sophistiqué, c’est que tu as sans doute fouillé un peu, et c’est interdit (je dis pas que c’est bien).
Le 18/12/2019 à 15h17
Il ne s’agit même pas d’une faille : on laisse la porte ouverte (et la fenêtre avec), en espérant que ça ne se voit pas…ou alors tout le monde s’en branle, en fait. C’est sans doute l’option la plus probable.
Est-ce qu’il peut y avoir des conséquences légales, pour la CNAM et / ou les prestataires? Sinon, je vois pas comment ça pourrait aller mieux à l’avenir…
(quand on voit que l’Etat se lance dans la collecte de données biométriques, ça fait vraiment froid dans le dos)
Le 18/12/2019 à 15h18
Eh beh une belle brochette d’incompétents.
Ce genre de truc ne devrait même pas être envisageable pour quelquechose d’aussi critique, c’est à se demander s’ils ont une team sécurité chez ameli (parce que des failles y en a d’autres, et j’ose même pas imaginer à quel point ils ne sont pas “gdpr” en interne. Pare que si ce genre d’url est dispo en externe ca veut dire que ce genre de manip est aussi dispo en interne et potentiellement pas loggué.
Le 18/12/2019 à 15h21
Le 18/12/2019 à 15h27
Le 18/12/2019 à 15h32
Au final le plus sur c’est comme l’a fait l’inventeur de cette faille….signaler le problème à la presse qui ferra suivre. La presse bénéficiant de protection supplémentaire permettant de se protéger ainsi que l’inventeur ou de savoir les limites…
Mais cette situation n’est pas normale.
Le 18/12/2019 à 15h33
Dans un certain nombre de boîtes très politiques chacun doit montrer qu’il travaille à la direction à grands coups de mails et autres.
Dès lors le boulot des équipes sécurité n’est plus de sécuriser les postes ou les infra mais d’emm… ceux qui bossent, car au moins comme ça ils montrent qu’ils travaillent. Après on peut toujours trouver une justification pour bloquer tel ou tel truc. Mais pendant ce temps le vrai travail de sécurité comme s’assurer que les patch de sécurité sont appliqués n’est pas fait…
Le 18/12/2019 à 15h35
Le 18/12/2019 à 15h37
On comprend mieux pourquoi ils appellent leur nouveau truc “Dossier Médical Partagé”. " />
J’espère que ça va pas devenir obligatoire ce machin.