L’Assurance Maladie explique avoir « détecté que des personnes non autorisées ont réussi à se connecter à des comptes amelipro, réservés aux professionnels de santé ».
Elle donne quelques détails : « Il ressort des premières analyses que les attaquants ont pu se connecter à des comptes dont les adresses e-mail avaient été compromises (19 comptes de professionnels de santé ont été identifiés). Via ces connexions, les attaquants ont procédé à des interrogations "en chaîne", avec l’utilisation d’un robot, d’un service dénommé "Infopatient" ».
Les données dérobées sont les suivantes : identité (nom, prénom, date de naissance, sexe), numéro de sécurité sociale, ainsi que des données relatives aux droits (déclaration d’un médecin traitant, attribution de la complémentaire santé solidaire ou de l’aide médicale d’État, éventuelle prise en charge à 100 %) ».
Par contre, « les coordonnées de contact (email, adresse, téléphone) et coordonnées bancaires, ainsi que les données relatives aux éventuelles pathologies/maladies et à la consommation de soins, ne sont pas concernées ».
Des mesures ont évidemment été prises et « les comptes des professionnels de santé réinitialisés ». 510 000 assurés sont concernés par cette fuite, et ils « seront informés individuellement de cet incident et sensibilisés au risque accru de hameçonnage dont ils pourraient faire l’objet ».
Conformément au RGPD, l’Assurance Maladie « a adressé une notification à la CNIL le 16 mars 2022 et dépose ce jour une plainte pénale » et a alerté les personnes concernées sur son site.
Commentaires (50)
#1
Et ça continue, encore et encore, c’est que le début, d’accord, d’accord…
https://www.youtube.com/watch?v=gYQ05GF-clk
#2
Et on peut donc faire des interrogations en chaîne, il n’y a pas un mécanisme qui empêche ca ?
#2.1
Si ce sont des pharmaciens alors la possibilité de faire des demandes en chaines doit être légitime. Les pharmacies peuvent recevoir des dizaines de patients à la minutes.
#3
Les “professionnels” sont des pharmaciens, ça date de plusieurs jours cette “info”.
#4
Ce n’était qu’une question de temps.
Il est louable de vouloir mettre un peu de graisse dans les rouages et simplifier/automatiser toute l’administration des soins, mais ce red flag a été levé dès le premier jour et nous y voilà.
J’avais rencontré un cardiologue il y a quelques années, indépendant, qui me disait que sa base de données patients était convoitée. Appels téléphoniques de prétendus membre de la famille pour obtenir des résultats, tentative de phishing via emails douteux… C’était régulier.
Il a fini par embaucher un cabinet pour enquêter sur la chose. C’était pas du hack de haut vol, et les pistes sont remontées… au cabinet d’assurances du même quartier.
Évidemment…
#5
Ils ne l’ont vu qu’au bout de 27 000 interrogation de la base par officine en moyenne… Bravo…
#6
L’assurance-maladie alerte d’une fuite massive de données à la suite du piratage des comptes amelipro de 19 professionnels de santé, dont 15 pharmaciens.
lequotidiendupharmacien
Capital
#7
Le trio gagnant pour la revente sur le darknet !
#8
Il n’y a aucun silo qui permet de sécuriser les données ? Si ce sont bien des pharmacies, elles ont accès à tout le dossier médical du patient ?
Pour les personnes ayant un ou plusieurs 100%, ça suffira à connaître le domaine de la pathologie malheureusement…
#9
Adresse email compromise donc à priori réinitialisation du mot de passe.
Le site internet Ameli Pro ne mentionne rien au sujet d’une quelconque double authentification pour la méthode de connexion avec identifiants ce qui devrait être la base pour un accès à des données aussi sensibles.
Ou bien au minimum un système de postes de “confiance”
#9.1
La sécurité, ça a jamais été le fort en santé.
Dernièrement, j’ai reçu la recommandation que “D’après l’ANS, il n’est pas nécessaire de procéder à un signalement, le simple fait de refuser la connexion ou d’ignorer cette notification permet à l’ANS d’être au courant et de mieux prévenir d’éventuelles futures tentatives de ce type.”
Donc on t’explique que si des personnes tentent de se connecter à ton compte, pas besoin de faire des recherches, ils vont sans doute arrêter par d’eux même. Sauf qu’on se rend compte que le problème c’est bien le médecin qui valide la demande d’authentification (cf les “hacks” qui n’en sont pas des pro de santé pour se connecter à vaccin covid).
Il existe bien des technique de MFA. L’utilisation d’une CPS + code porteur ou d’une eCPS + code pin en fait une MFA (physique pour l’une, démat pour l’autre). Mais elle n’est pas obligatoire pour certains services.
#10
Hello, impressionnant. N’est-il pas par exemple possible d’imaginer un système de chiffrement des bases de données et de permettre aux professionnels de santé de les déchiffrer en local via une clé de déchiffrement ? merci
#11
Tout est possible, le problème, c’est que la sécurité est l’ennemi de la simplicité.
Quand le public, ce sont des gens qui n’ont aucune volonté de vouloir commencer à réfléchir, mais qu’ils doivent accéder à des données ultra-sensibles… c’est juste mathématiquement impossible.
#11.1
Merci pour les infos. Pour moi, ce devrait être obligatoire, c’est pas comme si on découvrait la première cyberattaque. On ne peut pas se permettre de stocker ce genre de données sans avoir l’infrastructure pour la sécuriser. Comme le dit ForceRouge, il existe des individus qui ne sont pas sensibles à la sécurité : il faut alors un dispositif simplifié pour permettre de prendre en main ce volet à leur place (par analogie, j’ai comme idée Signal : un système chiffré par clé, transparent pour l’utilisateur).
#12
Il existe déjà la CPS (https://esante.gouv.fr/offres-services/cartes-de-professionnels-de-sante) nécessaire pour un certain nombre d’opérations “sensibles” permettant d’authentifier l’utilisateur.
Par exemple, c’est ce qui est utilisé par un médecin pour signer la feuille de soins électronique.
Manifestement, ce n’était pas le cas pour l’accès à Amelipro…
#13
Si c’est le cas : https://authps-espacepro.ameli.fr/
Mais tu peux aussi utiliser le couple identifiant-mot de passe.
#13.1
J’étais justement entrain de vérifier et j’étais arrivé à la même conclusion
#14
Je sensibilise nos clients sur les mots de passe (mail, ordinateur). La nécessité de ne pas avoir le même mot de passe pour tous les comptes mail (si si)… comment vous dire -> cela les fait chier d’avoir des mots de passe différents, résultats les mots de passe sont les mêmes, et tout va bien !
#15
J’imagine qu’on gardera bien au secret le nom de ces praticiens…
#16
Pour le coup, ils sont aussi victimes…
#16.1
C’est quoi leur préjudice ?
#16.2
Ton compte mail est compromis et des gens font du phishing avec, t’es responsable ?
#16.3
Oui d’autant plus quand le compte mail est celui d’un professionnel et que celui-ci permet l’accès à des données personnelles.
#17
“hameçonnage”
Vu les données volées, c’est pas vraiment la première idée qui m’est venue à l’esprit.
#18
Lu sur un site d’information “spécialisé”: L’Assurance Maladie indique que les adresses mail de 19 professionnels de santé ont été compromises, ce qui a permis aux hackers d’accéder à la plateforme amelipro. C’est là qu’ils ont pu récupérer des données sensibles, même si aucune coordonnée bancaire n’aurait été dérobée.Peut-on vraiment dire que le site d’Ameli a été piraté ? Nous avons contacté l’Assurance Maladie qui nous a confirmé quelques éléments déjà présents dans son communiqué de presse. L’objet de l’événement n’est pas un piratage mais une « connexion de personnes non autorisées à des comptes amelipro ». Si l’issue est la même, la cause est rassurante et semble indiquer que nos données ne sont pas en danger sur le site de l’Assurance Maladie, vraisemblablement bien sécurisé.
J’en rigole. L’identification des utilisateurs ne fait donc plus partie du socle sécuritaire. Circulez, il n’y a rien à voir.
#19
Ben si tu donnes ton ID, ton MDP et ton tel pour le MFA, là pour le coup on peut rien faire
Mais je suis étonné que le MFA ne soit pas obligatoire pour les professionnel chez Ameli…
#19.1
trop compliqué à mettre en place en pratique je suppose et apportant plus de contraintes.
#20
Au boulot on utilise pour se connecter en télétravail un code à 12 chiffres (6 chiffres fixes + 6 chiffres d’un token SecurID de RSA) et même les moins doués y arrive.
#21
Oui donc tu confirmes que il n y a rien d’étonnant à voir ce type de brève fleurir.
D’ailleurs quand j’ai reçu un mail récemment pour m’annonce la création de “mon espace santé”, 5 minutes après le compte était supprimé.
Pour nous rassurer c’est marqué noir sur blanc : “Vos données sont protégées par l’Assurance Maladie”
Je n’ai pas oublié qu’il n y a encore pas si longtemps, le couple ID/Mdp sur le site d’Ameli (particuliers) n’était encore constitué que de chiffres. C’est dire le chemin encore à parcourir.
#22
Ce que tu dis est simple à mettre en oeuvre dans une société qui gère son parc informatique.
Les données de santé dont on parle ici, c’est le PC du medecin sous windows XP, c’est le PC partagé de la salle de pause des infirmières de l’hopital, c’est le PC qui sert de caisse de la pharmacie…
Et sur les MFA, fun fact, au boulot, on a eu le droit à un reset de toutes les sessions liés à office365, j’étais au café à ce moment là, tous les téléphones des environs 30 personnes qui était la se son mit à afficher une notif de 2FA déclenché par la reconnexion de leur outlook sur leur PC. Je ne serais dire combien, mais certain on juste validé le 2FA par reflexe sur leur téléphone alors qu’il ne savait rien de la raison de la demande de 2FA.
Ce que je veux dire par la, c’est que mettre trop de sécurité amène des automatismes idiots, tout comme demander un password trop complexe à changer toutes les semaines. Un moment, les gens l’écrive juste sur un note, au mieux dans leur tel, au pire sur un papier.
Alors quand la population, ce sont les médecins/chirurgiens… Et je ne leur jette pas la pierre, ils ont sincèrement autre chose à faire que de devoir gérer des problèmes de 2FA parce que leur téléphone est dans le vestiaire…
#22.1
Dans les hôpitaux où je travaillais, il est pratiquement impossible de travailler sans utiliser ta carte CPE (comme une CPF mais spécifique à l’établissement de santé). Pour moi c’est une MFA “simple” à utiliser. En libéral c’est évidemment + laxiste sur le plan de la sécurité (beaucoup de logiciels métier, certains plus mis à jour depuis longtemps, données sans doute non chiffrées dans la majorité des cas).
#23
Quand on pense que les cartes CPS sont prévues pour faire de l’identification avec la puce ou via NFC.
Mais c’est peu mis en pratique, car chez les libéraux (médecins, pharmacien, etc …) la CPS reste toute la journée dans le lecteur SESAM/Vitale donc impossible de l’utiliser pour s’authentifier sur autre choses et que les professionnels de santé salariés n’utilisent rarement leur CPS dans le cadre de leur travail.
La e-CPS a été développé, car la CPS physique passe sa journée dans le lecteur SESAM/Vitale (pour chiffrer les demandes de comptable vers la sécurité).
Bref, la sécurité informatique pour les caisses c’est le flux d’argent (les fameuses fraudes avec les fausses cartes vitales), les données de santé arrivent en considération dans second temps.
#24
Ah parce que quand tu crées un mail, tu es en plus responsable des sécurités mises en place par la plateforme pour en protéger l’accès?
#24.1
Ce n’est pas leur messagerie qui a été compromise. C’est l’accès à leur messagerie. Recourir à un bête service mail qui nécessite une double authentification ce n’est pas insurmontable (gmail, yahoo, outlook pour les plus connus le permettent).
#24.2
Même pas, point de messagerie dans l’histoire (à moins que tu parles d’un exemple).
amelipro est juste accessible via un couple adresse mail /mdp.
Ça donne accès à quelques infos sur des patients en interrogeant la base de donnée via le numéro de sécu. En retour, on a le nom, prénom, si les droits sont ouverts au moment de l’interrogation, s’il y a un 100%, …
#24.3
Les identifiants ont été obtenus en prenant la main sur les messageries des professionnels concernés.
#24.4
ok !
#25
Oui et non. Elle a surtout été créée en période covid pour faciliter l’entrée des données des patients vaccinés et/ou ayant un test antigénique/pcr positif sur un poste n’ayant pas de lecteur de carte (exemple : centre de vaccination éphémère). Tout cela pour que les médecins, les IDE, les pharmaciens puissent générer du passe sanitaire en 3 clics “sécurisés”.
Et franchement, c’était une plaie à installer. L’application est très mal fichue, avec une configuration peu intuitive, et bourrée de faille (en témoigne les milliers de passes sanitaires réalisés avec des comptes piratés)
Clairement, on sent que le virage 2.0 est difficile à négocier au niveau de l’assurance maladie.
Cela donne envie d’ouvrir son espace santé n’est ce pas ?
#25.1
Non, la e-CPS était dans les tuyaux dès 2019:
https://esante.gouv.fr/offres-services/pro-sante-connect
L’État a sauté sur cet outil qui était en train de monter en puissance.
#25.2
Le pro de santé qui valide l’authentification sans vérifier qui est à l’origine de la demande, on est loin de la faille de sécurité…
La e-CPS a aussi été créée car certains ps n’avaient pas de cps alors que la cnam poussait à leur recrutement (en clair les étudiants et les retraités afin de ne pas pénaliser l’offre de santé liibérale)
#26
Si les fonctionnaires ont pris des mesures alors…
#27
Et bien entendu c’est toi en tant qu’utilisateur de la plateforme qui mets ca en place…
#27.1
Non mais choisir un service qui le permet c’est assez facile.
#28
l’accès aurait pourrait être un peu plus sécurisé mais ça rajouterait des contraintes au comptoir (je parle de pharmacie d’officine).
Déjà que l’on va sur ce site pour rendre service au patient…
#28.1
Si l’État était malin, il aurait monter un truc similaire à Visiodroit que payent des officines.
Lors du passage de la carte vitale, l’informatique appelle un organisme pour vérifier que le dossier est bien à jour de sa mutuelle.
Les professionnels de santé ne veulent pas perdre leur soirée en administratif pour des dossiers de mutuelles rejetés sous prétexte que le patient a changé d’employeur et donc de mutuelles.
Avec dispositif comme cela, 90% des raisons de se connecter à Amelipro aurait été enlevé.
#28.2
Ce serait tellement bien de faciliter les choses et de réduire la charge administrative des professionnels de santé…
Pour avoir fait des télétransmissions et des rejets de dossiers, c’est vraiment la galère.
#29
#30
Bon nombre de collègues médecins au CHU n’utilisent JAMAIS leur carte CPS. Ils ne font pas de facturations, pas de demande d’ald, pas de bon de transport en ligne et la plupart ne fait pas de vaccination/certificat de test antigénique positif sur SIDEP : ils n’ont donc pas besoin d’utiliser cette carte CPS (il n’y a d’ailleurs pas de lecteur de carte dans la plupart des services), ni d’activer leur compte e cps
J’ai par exemple une amie qui bosse au CHU. Elle a voulu il y a 3 mois créer son compte e-cps. Se heurtant à une erreur (chose plutôt commune sur l’application soit dit au passage), elle s’est connectée sur “vaccination covid” par la voie classique via la carte cps dans le cabinet d’une collègue. Elle s’est rendue compte que son compte pro santé connect avait été hacké et qu’environ 1200 certificat de vaccinations avaient été réalisés à son insu. Elle a bien évidemment fait un signalement auprès de l’ARS et une enquête est en cours etc.
On ne lui a jamais demandé de valider les requêtes de connexion sur pro santé connect puisqu’elle n’avait pas activé sa carte e-cps. Sa carte CPS étant dans sa poche, ce n’est pas celle-ci qui a été utilisé pour les requêtes de connexion. Il y a donc clairement au moins une faille quelques part, et franchement ce n’est pas très rassurant pour les autres outils tel que l’espace ameli pro ou le DMP.
Bref tout ça pour dire que le numérique et la santé, ce n’est pas encore ça.
#31
Les étudiants ont une CPS (et un RPPS). En tous c’est prévu et possible.
L’État devrait rendre obligatoire l’authentification forte dans les logiciels métiers des professionnels de santé.
#32
Pour information:
http://www.ordre.pharmacien.fr/Communications/Les-actualites/Piratage-de-comptes-amelipro-appel-a-la-vigilance-des-pharmaciens