Le brief du 06 février 2024

Publié dans Sécurité

30

Fuite de données chez Almerys, un autre prestataire du tiers payant

Torse d'un médecin en blouse blanche et chemise, avec un stéthoscope sur les épaules.Photo de National Cancer Institute sur Unsplash

La semaine dernière, Viamedis, le leader du secteur, annonçait avoir été victime d'un piratage. Cette semaine, c'est au tour de son concurrent, Almerys, de faire la même annonce, selon Zdnet.

Selon l'entreprise, les attaquants ont pu accéder aux « nom, prénom, date de naissance, rang de naissance, numéro de sécurité sociale, nom de l'assureur santé, numéro de contrat de l'assureur et une référence interne ».

Les deux plateformes semblent avoir été attaquées via la compromission de comptes de professionnels de santé.

Comme Viamedis, Almerys a coupé l'accès à sa plateforme de tiers payant pour les professionnels via le système de login/mot de passe. Mais le reste du système reste utilisable.

Almerys précise aussi que « les informations bancaires, les données médicales, les détails de remboursements de santé, les coordonnées postales, les numéros de téléphone et les adresses e-mail ne sont en aucun cas concernés par cette violation ».

L'entreprise a déposé plainte et signalé l'attaque à la CNIL et à l'ANSSI. Comme son concurrent, Almerys n'a pas rendu public le nombre d'utilisateurs touchés par la fuite de données.

30

Tiens, en parlant de ça :

logo OpenAI dans l'obscurité

noyb porte plainte contre OpenAI sur les « hallucinations » de ChatGPT

noyb vs OpenAI, S01E01

14:45 DroitIA 0
Interface d'Android TV avec grille d'applications

Android TV laisse installer Chrome et accéder aux données du compte Google

Une mise à jour ? Quelle mise à jour ?

13:58 SoftSécu 5

#Flock fait son cinéma

Huahu ahu ouin ouin ouiiin... Vous l'avez ?

13:37 Flock 25
30

Fermer

Commentaires (30)


gouge_re Abonné
Le 06/02/2024 à 06h 47
Bon bah si j'étais pas sùr d'être impacté avec Viamédis via Itélis, là je suis sur de l'être, j'ai leur logo en gros sur ma carte TP xD

Merci aux pirates de m'avoir ôté le doute ! ... :frown:

Question qui me vient à l'esprit : les mutuelles sont-elles tenueq de prévenir les adhérents ? Car Almerys doit légalement prévenir leurs clients (les mutuelles), mais nous.... ?
Modifié le 06/02/2024 à 06h55
barlav Abonné
Le 06/02/2024 à 07h 29
Nous on a reçu un mail de notre employeur qui utilise Malakoff qui utilise Viamédis.
:chinois:
Hereziark Abonné
Le 06/02/2024 à 07h 49

barlav

Nous on a reçu un mail de notre employeur qui utilise Malakoff qui utilise Viamédis.
:chinois:
Pareil. Sauf que c'est pas Malakoff, mais tout pareil.
Et à la fin de tout un mail d'une page sur l'étendue de la fuite et "ne vous inquiétez pas, on est sur le coup, on attend plus d'info, blablabla", y'avait à peine un tout petit paragraphe de 2 lignes même pas mises en avant pour nous dire de faire gaffe quand-même, ça pourrait mener à du phishing un peu balèze...
SebGF Abonné
Le 06/02/2024 à 07h 36
Question qui me vient à l'esprit : les mutuelles sont-elles tenueq de prévenir les adhérents ? Car Almerys doit légalement prévenir leurs clients (les mutuelles), mais nous.... ?


C'est normalement imposé par le RGPD de prévenir les personnes concernées par une violation de données personnelles (de mémoire, corrigez-moi si je me trompe). Après ça dépend aussi de la relation contractuelle entre responsable et co-responsable du traitement de données personnelles.
Modifié le 06/02/2024 à 07h36
vexal Abonné
Le 06/02/2024 à 08h 41
J'ai reçu un mail de Malakoff en tant qu'ancien client. Il expliquait assez bien le problème et signalait que je pouvait être impacté du fait de la conservation légale de mes données par Viamedis "l'organisme auquel nous sous-traitons la gestion du tiers payant de nos contrats santé"
Ferrex Abonné
Le 06/02/2024 à 08h 44

vexal

J'ai reçu un mail de Malakoff en tant qu'ancien client. Il expliquait assez bien le problème et signalait que je pouvait être impacté du fait de la conservation légale de mes données par Viamedis "l'organisme auquel nous sous-traitons la gestion du tiers payant de nos contrats santé"
Ce qui n'est pas dit dans la communication de Malakoff-Humanis et soulignée dans le Brief sur Viamédis (bien vu Next!), c'est que Viamédis n'est pas que sous-traitant de Humanis Malakoff, c'est une de leurs filiales (propriétaire à 69% de mémoire).

Message édité pour être clair vers qui je fais le reproche
Modifié le 06/02/2024 à 11h26
Martin Clavey Équipe
Le 06/02/2024 à 10h 08

Ferrex

Ce qui n'est pas dit dans la communication de Malakoff-Humanis et soulignée dans le Brief sur Viamédis (bien vu Next!), c'est que Viamédis n'est pas que sous-traitant de Humanis Malakoff, c'est une de leurs filiales (propriétaire à 69% de mémoire).

Message édité pour être clair vers qui je fais le reproche
Nous l'écrivons dans le brief sur Viamédis :

"Viamedis, qui gère le tiers payant pour 20 millions de Français en étant prestataire de 84 complémentaires santé, a informé l'AFP qu'elle avait été victime d'un piratage.

L'entreprise, filiale du groupe Malakoff-Médéric-Humanis, a expliqué ...
"

https://next.ink/brief_article/fuite-de-donnees-chez-le-prestataire-du-tiers-payant-viamedis-gerant-20-millions-dassures/
Modifié le 06/02/2024 à 10h09
Ferrex Abonné
Le 06/02/2024 à 11h 24

Martin Clavey

Nous l'écrivons dans le brief sur Viamédis :

"Viamedis, qui gère le tiers payant pour 20 millions de Français en étant prestataire de 84 complémentaires santé, a informé l'AFP qu'elle avait été victime d'un piratage.

L'entreprise, filiale du groupe Malakoff-Médéric-Humanis, a expliqué ...
"

https://next.ink/brief_article/fuite-de-donnees-chez-le-prestataire-du-tiers-payant-viamedis-gerant-20-millions-dassures/
Pardon, j'aurais dû être plus clair dans mon propos qui ne visait nullement Next. C'est la communication de la part de Malakoff-Humanis que je trouve dégueulasse et comme le fait remarquer également @Vexal ci-dessous (ou dessus, selon l'endroit où se positionnera le commentaire).

J'édite ma réponse pour faire sortir ça.
vexal Abonné
Le 06/02/2024 à 10h 17

Ferrex

Ce qui n'est pas dit dans la communication de Malakoff-Humanis et soulignée dans le Brief sur Viamédis (bien vu Next!), c'est que Viamédis n'est pas que sous-traitant de Humanis Malakoff, c'est une de leurs filiales (propriétaire à 69% de mémoire).

Message édité pour être clair vers qui je fais le reproche
D'où la citation pour souligner le déchargement de responsabilité (c'est pas nous c'est eux) dans les messages aux clients alors que eux c'est Malakoff aussi ;-)
Modifié le 06/02/2024 à 10h17
Soriatane Abonné
Le 06/02/2024 à 06h 59
La semaine prochaine c'est au tour d'iSanté?

Ils vont faire comme les caisses: double authentification pour accéder à Amelipro! (Avec Pro Santé Connecter).

Je me demande si les malfrats n'utilisent pas le système Visiodroit ou un équivalent pour accéder aux informations. Cela permet aux professionnels de santé de s'assurer que le patient est bien chez telle mutuelle et d'avoir la garantie qu'il sera payé. Car les cartes mutuelles en papier ne sont pas une garantie de paiement.
Modifié le 06/02/2024 à 07h29
Ferrex Abonné
Le 06/02/2024 à 14h 21
Moi qui doit faire une présentation de l'intérêt d'une authentification mutlifacteurs sur les comptes, ça tombe bien ce genre d'exemple (j'attends tout de même plus d'informations sur la technique utilisée dans le cas présent). Sauf que dans ma présentation, j'expose également un moyen utilisé par les malfrats pour la contourner
Modifié le 06/02/2024 à 14h22
SebGF Abonné
Le 06/02/2024 à 07h 34
Ils se sont passé le mot ou bien ? :transpi:
Jarodd Abonné
Le 06/02/2024 à 08h 58
Il se sont passé le mot de passe, oui.
levhieu
Le 06/02/2024 à 11h 11

Jarodd

Il se sont passé le mot de passe, oui.
joli
HerrFrance Abonné
Le 06/02/2024 à 08h 01
Hormis ça, imaginez la quantité de données que vous avez chez votre médecin, notaire, ce que vous avez envoyé pour un dossier logement à un agence immobilière, et ensuite imaginez les moyens de protection qu'ils peuvent avoir à leur échelle...
Jarodd Abonné
Le 06/02/2024 à 08h 59
Toujours faire une demande de suppression des données quand le dossier est clos (quand c'est possible : l'agence doit supprimer les données, par contre le notaire doit les conserver pour des raisons légales).
Et plainte à la CNIL quand pas de réponse au bout de 30 jous.
Soriatane Abonné
Le 06/02/2024 à 13h 52

Jarodd

Toujours faire une demande de suppression des données quand le dossier est clos (quand c'est possible : l'agence doit supprimer les données, par contre le notaire doit les conserver pour des raisons légales).
Et plainte à la CNIL quand pas de réponse au bout de 30 jous.
Il n'y a pas aussi une histoire de réduction des risques et le professionnel doit archiver en sauvegarde froide, un dossier qu'il n'a plus besoin après un certains temps??

Le médecin doit conserver les données médicales jusqu'au décès du patient (voir quelques années après, je ne sais plus trop).
Jarodd Abonné
Le 06/02/2024 à 16h 21

Soriatane

Il n'y a pas aussi une histoire de réduction des risques et le professionnel doit archiver en sauvegarde froide, un dossier qu'il n'a plus besoin après un certains temps??

Le médecin doit conserver les données médicales jusqu'au décès du patient (voir quelques années après, je ne sais plus trop).
Chacun détermine la durée de conservation selon ses besoins, et selon la loi.
Par exemple "le temps de la prospection pour un appart", ça peut prendre 1 semaine ou 6 mois. Mais une fois ce délai passé, il doit supprimer ce qui n'est plus utile (après ça dépend si l'agence ne fait que les visites, ou a en charge la location).

Récemment Cafpi s'est fait volé des données. Dans le lot il y avait les miennes, mais je n'ai pas demandé leur suppression (surtout que je ne suis pas passé par eux finalement). C'est une durée trop longue pour de simples prospects qui n'ont rien contractualisé, donc ils auraient du les supprimer. Or dans leur politique de confidentialité ils annoncent les conserver 5 ans, or dans mon cas cela faisait 4 ans et demi. Donc ils étaient dans les règles, vu que je n'ai pas demandé la suppression.
fdorin Abonné
Le 06/02/2024 à 23h 33

Soriatane

Il n'y a pas aussi une histoire de réduction des risques et le professionnel doit archiver en sauvegarde froide, un dossier qu'il n'a plus besoin après un certains temps??

Le médecin doit conserver les données médicales jusqu'au décès du patient (voir quelques années après, je ne sais plus trop).
Le médecin doit conserver les données médicales jusqu'au décès du patient (voir quelques années après, je ne sais plus trop).


Ca dépend. Un médecin en cabinet n'a pas vraiment d'obligation, tandis que pour un établissement de santé, c'est 20 ans après le dernier passage du patient, ou 10 ans après son décès.

https://www.service-public.fr/particuliers/vosdroits/F12210
Groupetto Abonné
Le 06/02/2024 à 20h 00
Y'a beaucoup de problèmes de piratage chez les notaires.

Malheureusement, les notaires demandent souvent à leurs clients de payer par virement, en leur adressant un RIB par mail.

Quand on couple ça avec des "systèmes d'information" qui tiennent plus du bricolage qu'autre chose, on comprend bien que les officines deviennent des cibles privilégiées pour les hackers, qui interceptent les mails sortants et remplacent le RIB du notaire par le leur.

Sans compter toutes les autres arnaques qui doivent exister mais dont je suis pas au courant...
Muzikals Abonné
Le 06/02/2024 à 08h 37
J'ai un peu de mal à comprendre comment avec les identifiants d'un simple professionnel de santé on peux avoir accès à autant d'informations en si grand nombre 🤔
Quelq'un peux m'eclairer ?
Soriatane Abonné
Le 06/02/2024 à 13h 49
Nom, prénom, date de naissance, rang de naissance, numéro de sécurité sociale, nom de l'assureur santé, numéro de contrat de l'assureur et une référence interne

Ce sont les informations nécessaires pour facturer les actes auprès des caisses (caisses obligatoires type CPAM ou caisses complémentaires alias mutuelles).
Certaines de ces informations sont nécessaires pour distinguer un assuré de ses ayants-droits. Ainsi, un enfant n'est pas connu par le système avec son propre code INSEE (avant ses 16 voir 18 ans) mais avec celui de ses parents, ils font donc d'autres informations pour le distinguer.

Ensuite, la carte mutuelle n'apporte aucune garantie de paiement au professionnels de santé quand il fait le tiers-payant. En effet, elles ont souvent une validité d'un an. Et tu peux changer de contrat ou de mutuelle au cours de l'année.
Pour s'en prémunir, tu peux t'abonner à des systèmes comme Visiodroit (https://www.visiodroits.fr/) qui vont interroger la mutuelle et te garantir le paiement. Cela ne prend que quelques secondes, si c'est rejeter tu peux refuser le tiers payant.

Une pharmacie peut drainer beaucoup de monde, donc faire beaucoup de requêtes, étaler sur plusieurs mois avec plusieurs compte usurpés, cela ne doit pas être détecté. Malheureusement, les confrères pharmaciens ne sont pas meilleurs que la population générale sur la sécurité informatique.
Zone démilitarisée Abonné
Le 06/02/2024 à 22h 15

Soriatane

Nom, prénom, date de naissance, rang de naissance, numéro de sécurité sociale, nom de l'assureur santé, numéro de contrat de l'assureur et une référence interne

Ce sont les informations nécessaires pour facturer les actes auprès des caisses (caisses obligatoires type CPAM ou caisses complémentaires alias mutuelles).
Certaines de ces informations sont nécessaires pour distinguer un assuré de ses ayants-droits. Ainsi, un enfant n'est pas connu par le système avec son propre code INSEE (avant ses 16 voir 18 ans) mais avec celui de ses parents, ils font donc d'autres informations pour le distinguer.

Ensuite, la carte mutuelle n'apporte aucune garantie de paiement au professionnels de santé quand il fait le tiers-payant. En effet, elles ont souvent une validité d'un an. Et tu peux changer de contrat ou de mutuelle au cours de l'année.
Pour s'en prémunir, tu peux t'abonner à des systèmes comme Visiodroit (https://www.visiodroits.fr/) qui vont interroger la mutuelle et te garantir le paiement. Cela ne prend que quelques secondes, si c'est rejeter tu peux refuser le tiers payant.

Une pharmacie peut drainer beaucoup de monde, donc faire beaucoup de requêtes, étaler sur plusieurs mois avec plusieurs compte usurpés, cela ne doit pas être détecté. Malheureusement, les confrères pharmaciens ne sont pas meilleurs que la population générale sur la sécurité informatique.
Je pense que la question ne portait non pas sur le fait que des données de patient sont saisies par les professionnels de santé, mais plutôt sur comment un professionnel de santé peut-il accéder aux informations de toute la patientèle d'une mutuelle.
Muzikals Abonné
Le 06/02/2024 à 22h 29

Zone démilitarisée

Je pense que la question ne portait non pas sur le fait que des données de patient sont saisies par les professionnels de santé, mais plutôt sur comment un professionnel de santé peut-il accéder aux informations de toute la patientèle d'une mutuelle.
En effet, c'est plus cette question là que je me posais.
Modifié le 07/02/2024 à 08h48
Jarodd Abonné
Le 06/02/2024 à 09h 00
Mais le Health Data Hub sera sécurisé, c'est Microsoft qui le dit ! Donc tout va bien :chinois:
Myifee Abonné
Le 06/02/2024 à 09h 44
En attendant, ce n'est pas Microsoft qui vient ici de se faire trouer de A à Z.
levhieu
Le 06/02/2024 à 11h 14

Myifee

En attendant, ce n'est pas Microsoft qui vient ici de se faire trouer de A à Z.
Microsoft, la société qui a mis du temps à se rendre compte que des indésirables se promenaient dans ses mails ?
(une référence parmi d'autres:
https://www.theregister.com/2024/01/24/microsoft_latest_breach_cozy_bear/)
Myifee Abonné
Le 06/02/2024 à 11h 20

levhieu

Microsoft, la société qui a mis du temps à se rendre compte que des indésirables se promenaient dans ses mails ?
(une référence parmi d'autres:
https://www.theregister.com/2024/01/24/microsoft_latest_breach_cozy_bear/)
Oui oui ... "a legacy non-production test tenant"

Rappelle moi, de quand date la dernière fuite de donnée du Health Data Hub ?
seboquoi
Le 06/02/2024 à 22h 45
Reçu un mail de ma mutuelle à ce sujet (AMPLI), absolument navrant.
J'ai cru comprendre dans certains commentaires qu'il n'y avait pas de double authentification pour accéder à ce genre de données sensibles...
seboquoi
Le 07/02/2024 à 09h 39
D'ailleurs je me réponds à moi-même et constate depuis quelques jours la mise en place d'une double authentification par SMS lors de la connexion sur le site d'AMPLI.... Bravo le veau.