Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Fuite de données chez Almerys, un autre prestataire du tiers payant

Fuite de données chez Almerys, un autre prestataire du tiers payant

Photo de National Cancer Institute sur Unsplash

Le 06 février à 06h33

La semaine dernière, Viamedis, le leader du secteur, annonçait avoir été victime d'un piratage. Cette semaine, c'est au tour de son concurrent, Almerys, de faire la même annonce, selon Zdnet.

Selon l'entreprise, les attaquants ont pu accéder aux « nom, prénom, date de naissance, rang de naissance, numéro de sécurité sociale, nom de l'assureur santé, numéro de contrat de l'assureur et une référence interne ».

Les deux plateformes semblent avoir été attaquées via la compromission de comptes de professionnels de santé.

Comme Viamedis, Almerys a coupé l'accès à sa plateforme de tiers payant pour les professionnels via le système de login/mot de passe. Mais le reste du système reste utilisable.

Almerys précise aussi que « les informations bancaires, les données médicales, les détails de remboursements de santé, les coordonnées postales, les numéros de téléphone et les adresses e-mail ne sont en aucun cas concernés par cette violation ».

L'entreprise a déposé plainte et signalé l'attaque à la CNIL et à l'ANSSI. Comme son concurrent, Almerys n'a pas rendu public le nombre d'utilisateurs touchés par la fuite de données.

Le 06 février à 06h33

Commentaires (30)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Bon bah si j'étais pas sùr d'être impacté avec Viamédis via Itélis, là je suis sur de l'être, j'ai leur logo en gros sur ma carte TP xD

Merci aux pirates de m'avoir ôté le doute ! ... :frown:

Question qui me vient à l'esprit : les mutuelles sont-elles tenueq de prévenir les adhérents ? Car Almerys doit légalement prévenir leurs clients (les mutuelles), mais nous.... ?
votre avatar
Nous on a reçu un mail de notre employeur qui utilise Malakoff qui utilise Viamédis.
:chinois:
votre avatar
Pareil. Sauf que c'est pas Malakoff, mais tout pareil.
Et à la fin de tout un mail d'une page sur l'étendue de la fuite et "ne vous inquiétez pas, on est sur le coup, on attend plus d'info, blablabla", y'avait à peine un tout petit paragraphe de 2 lignes même pas mises en avant pour nous dire de faire gaffe quand-même, ça pourrait mener à du phishing un peu balèze...
votre avatar
Question qui me vient à l'esprit : les mutuelles sont-elles tenueq de prévenir les adhérents ? Car Almerys doit légalement prévenir leurs clients (les mutuelles), mais nous.... ?
C'est normalement imposé par le RGPD de prévenir les personnes concernées par une violation de données personnelles (de mémoire, corrigez-moi si je me trompe). Après ça dépend aussi de la relation contractuelle entre responsable et co-responsable du traitement de données personnelles.
votre avatar
J'ai reçu un mail de Malakoff en tant qu'ancien client. Il expliquait assez bien le problème et signalait que je pouvait être impacté du fait de la conservation légale de mes données par Viamedis "l'organisme auquel nous sous-traitons la gestion du tiers payant de nos contrats santé"
votre avatar
Ce qui n'est pas dit dans la communication de Malakoff-Humanis et soulignée dans le Brief sur Viamédis (bien vu Next!), c'est que Viamédis n'est pas que sous-traitant de Humanis Malakoff, c'est une de leurs filiales (propriétaire à 69% de mémoire).

Message édité pour être clair vers qui je fais le reproche
votre avatar
Nous l'écrivons dans le brief sur Viamédis :

"Viamedis, qui gère le tiers payant pour 20 millions de Français en étant prestataire de 84 complémentaires santé, a informé l'AFP qu'elle avait été victime d'un piratage.

L'entreprise, filiale du groupe Malakoff-Médéric-Humanis, a expliqué ...
"

next.ink Next
votre avatar
Pardon, j'aurais dû être plus clair dans mon propos qui ne visait nullement Next. C'est la communication de la part de Malakoff-Humanis que je trouve dégueulasse et comme le fait remarquer également @Vexal ci-dessous (ou dessus, selon l'endroit où se positionnera le commentaire).

J'édite ma réponse pour faire sortir ça.
votre avatar
D'où la citation pour souligner le déchargement de responsabilité (c'est pas nous c'est eux) dans les messages aux clients alors que eux c'est Malakoff aussi ;-)
votre avatar
La semaine prochaine c'est au tour d'iSanté?

Ils vont faire comme les caisses: double authentification pour accéder à Amelipro! (Avec Pro Santé Connecter).

Je me demande si les malfrats n'utilisent pas le système Visiodroit ou un équivalent pour accéder aux informations. Cela permet aux professionnels de santé de s'assurer que le patient est bien chez telle mutuelle et d'avoir la garantie qu'il sera payé. Car les cartes mutuelles en papier ne sont pas une garantie de paiement.
votre avatar
Moi qui doit faire une présentation de l'intérêt d'une authentification mutlifacteurs sur les comptes, ça tombe bien ce genre d'exemple (j'attends tout de même plus d'informations sur la technique utilisée dans le cas présent). Sauf que dans ma présentation, j'expose également un moyen utilisé par les malfrats pour la contourner
votre avatar
Ils se sont passé le mot ou bien ? :transpi:
votre avatar
Il se sont passé le mot de passe, oui.
votre avatar
joli
votre avatar
Hormis ça, imaginez la quantité de données que vous avez chez votre médecin, notaire, ce que vous avez envoyé pour un dossier logement à un agence immobilière, et ensuite imaginez les moyens de protection qu'ils peuvent avoir à leur échelle...
votre avatar
Toujours faire une demande de suppression des données quand le dossier est clos (quand c'est possible : l'agence doit supprimer les données, par contre le notaire doit les conserver pour des raisons légales).
Et plainte à la CNIL quand pas de réponse au bout de 30 jous.
votre avatar
Il n'y a pas aussi une histoire de réduction des risques et le professionnel doit archiver en sauvegarde froide, un dossier qu'il n'a plus besoin après un certains temps??

Le médecin doit conserver les données médicales jusqu'au décès du patient (voir quelques années après, je ne sais plus trop).
votre avatar
Chacun détermine la durée de conservation selon ses besoins, et selon la loi.
Par exemple "le temps de la prospection pour un appart", ça peut prendre 1 semaine ou 6 mois. Mais une fois ce délai passé, il doit supprimer ce qui n'est plus utile (après ça dépend si l'agence ne fait que les visites, ou a en charge la location).

Récemment Cafpi s'est fait volé des données. Dans le lot il y avait les miennes, mais je n'ai pas demandé leur suppression (surtout que je ne suis pas passé par eux finalement). C'est une durée trop longue pour de simples prospects qui n'ont rien contractualisé, donc ils auraient du les supprimer. Or dans leur politique de confidentialité ils annoncent les conserver 5 ans, or dans mon cas cela faisait 4 ans et demi. Donc ils étaient dans les règles, vu que je n'ai pas demandé la suppression.
votre avatar
Le médecin doit conserver les données médicales jusqu'au décès du patient (voir quelques années après, je ne sais plus trop).
Ca dépend. Un médecin en cabinet n'a pas vraiment d'obligation, tandis que pour un établissement de santé, c'est 20 ans après le dernier passage du patient, ou 10 ans après son décès.

service-public.fr Service Public
votre avatar
Y'a beaucoup de problèmes de piratage chez les notaires.

Malheureusement, les notaires demandent souvent à leurs clients de payer par virement, en leur adressant un RIB par mail.

Quand on couple ça avec des "systèmes d'information" qui tiennent plus du bricolage qu'autre chose, on comprend bien que les officines deviennent des cibles privilégiées pour les hackers, qui interceptent les mails sortants et remplacent le RIB du notaire par le leur.

Sans compter toutes les autres arnaques qui doivent exister mais dont je suis pas au courant...
votre avatar
J'ai un peu de mal à comprendre comment avec les identifiants d'un simple professionnel de santé on peux avoir accès à autant d'informations en si grand nombre 🤔
Quelq'un peux m'eclairer ?
votre avatar
Nom, prénom, date de naissance, rang de naissance, numéro de sécurité sociale, nom de l'assureur santé, numéro de contrat de l'assureur et une référence interne

Ce sont les informations nécessaires pour facturer les actes auprès des caisses (caisses obligatoires type CPAM ou caisses complémentaires alias mutuelles).
Certaines de ces informations sont nécessaires pour distinguer un assuré de ses ayants-droits. Ainsi, un enfant n'est pas connu par le système avec son propre code INSEE (avant ses 16 voir 18 ans) mais avec celui de ses parents, ils font donc d'autres informations pour le distinguer.

Ensuite, la carte mutuelle n'apporte aucune garantie de paiement au professionnels de santé quand il fait le tiers-payant. En effet, elles ont souvent une validité d'un an. Et tu peux changer de contrat ou de mutuelle au cours de l'année.
Pour s'en prémunir, tu peux t'abonner à des systèmes comme Visiodroit (https://www.visiodroits.fr/) qui vont interroger la mutuelle et te garantir le paiement. Cela ne prend que quelques secondes, si c'est rejeter tu peux refuser le tiers payant.

Une pharmacie peut drainer beaucoup de monde, donc faire beaucoup de requêtes, étaler sur plusieurs mois avec plusieurs compte usurpés, cela ne doit pas être détecté. Malheureusement, les confrères pharmaciens ne sont pas meilleurs que la population générale sur la sécurité informatique.
votre avatar
Je pense que la question ne portait non pas sur le fait que des données de patient sont saisies par les professionnels de santé, mais plutôt sur comment un professionnel de santé peut-il accéder aux informations de toute la patientèle d'une mutuelle.
votre avatar
En effet, c'est plus cette question là que je me posais.
votre avatar
Mais le Health Data Hub sera sécurisé, c'est Microsoft qui le dit ! Donc tout va bien :chinois:
votre avatar
En attendant, ce n'est pas Microsoft qui vient ici de se faire trouer de A à Z.
votre avatar
Microsoft, la société qui a mis du temps à se rendre compte que des indésirables se promenaient dans ses mails ?
(une référence parmi d'autres:
https://www.theregister.com/2024/01/24/microsoft_latest_breach_cozy_bear/)
votre avatar
Oui oui ... "a legacy non-production test tenant"

Rappelle moi, de quand date la dernière fuite de donnée du Health Data Hub ?
votre avatar
Reçu un mail de ma mutuelle à ce sujet (AMPLI), absolument navrant.
J'ai cru comprendre dans certains commentaires qu'il n'y avait pas de double authentification pour accéder à ce genre de données sensibles...
votre avatar
D'ailleurs je me réponds à moi-même et constate depuis quelques jours la mise en place d'une double authentification par SMS lors de la connexion sur le site d'AMPLI.... Bravo le veau.

Fuite de données chez Almerys, un autre prestataire du tiers payant

Fermer