La semaine dernière, Viamedis, le leader du secteur, annonçait avoir été victime d'un piratage. Cette semaine, c'est au tour de son concurrent, Almerys, de faire la même annonce, selon Zdnet.
Selon l'entreprise, les attaquants ont pu accéder aux « nom, prénom, date de naissance, rang de naissance, numéro de sécurité sociale, nom de l'assureur santé, numéro de contrat de l'assureur et une référence interne ».
Les deux plateformes semblent avoir été attaquées via la compromission de comptes de professionnels de santé.
Comme Viamedis, Almerys a coupé l'accès à sa plateforme de tiers payant pour les professionnels via le système de login/mot de passe. Mais le reste du système reste utilisable.
Almerys précise aussi que « les informations bancaires, les données médicales, les détails de remboursements de santé, les coordonnées postales, les numéros de téléphone et les adresses e-mail ne sont en aucun cas concernés par cette violation ».
L'entreprise a déposé plainte et signalé l'attaque à la CNIL et à l'ANSSI. Comme son concurrent, Almerys n'a pas rendu public le nombre d'utilisateurs touchés par la fuite de données.
Commentaires (30)
#1
Merci aux pirates de m'avoir ôté le doute ! ...
Question qui me vient à l'esprit : les mutuelles sont-elles tenueq de prévenir les adhérents ? Car Almerys doit légalement prévenir leurs clients (les mutuelles), mais nous.... ?
#1.1
#1.3
Et à la fin de tout un mail d'une page sur l'étendue de la fuite et "ne vous inquiétez pas, on est sur le coup, on attend plus d'info, blablabla", y'avait à peine un tout petit paragraphe de 2 lignes même pas mises en avant pour nous dire de faire gaffe quand-même, ça pourrait mener à du phishing un peu balèze...
#1.2
C'est normalement imposé par le RGPD de prévenir les personnes concernées par une violation de données personnelles (de mémoire, corrigez-moi si je me trompe). Après ça dépend aussi de la relation contractuelle entre responsable et co-responsable du traitement de données personnelles.
#1.4
#1.5
Message édité pour être clair vers qui je fais le reproche
#1.6
"Viamedis, qui gère le tiers payant pour 20 millions de Français en étant prestataire de 84 complémentaires santé, a informé l'AFP qu'elle avait été victime d'un piratage.
L'entreprise, filiale du groupe Malakoff-Médéric-Humanis, a expliqué ...
"
https://next.ink/brief_article/fuite-de-donnees-chez-le-prestataire-du-tiers-payant-viamedis-gerant-20-millions-dassures/
#1.8
J'édite ma réponse pour faire sortir ça.
#1.7
#2
Ils vont faire comme les caisses: double authentification pour accéder à Amelipro! (Avec Pro Santé Connecter).
Je me demande si les malfrats n'utilisent pas le système Visiodroit ou un équivalent pour accéder aux informations. Cela permet aux professionnels de santé de s'assurer que le patient est bien chez telle mutuelle et d'avoir la garantie qu'il sera payé. Car les cartes mutuelles en papier ne sont pas une garantie de paiement.
#2.1
#3
#3.1
#3.2
#4
#4.1
Et plainte à la CNIL quand pas de réponse au bout de 30 jous.
#4.2
Le médecin doit conserver les données médicales jusqu'au décès du patient (voir quelques années après, je ne sais plus trop).
#4.3
Par exemple "le temps de la prospection pour un appart", ça peut prendre 1 semaine ou 6 mois. Mais une fois ce délai passé, il doit supprimer ce qui n'est plus utile (après ça dépend si l'agence ne fait que les visites, ou a en charge la location).
Récemment Cafpi s'est fait volé des données. Dans le lot il y avait les miennes, mais je n'ai pas demandé leur suppression (surtout que je ne suis pas passé par eux finalement). C'est une durée trop longue pour de simples prospects qui n'ont rien contractualisé, donc ils auraient du les supprimer. Or dans leur politique de confidentialité ils annoncent les conserver 5 ans, or dans mon cas cela faisait 4 ans et demi. Donc ils étaient dans les règles, vu que je n'ai pas demandé la suppression.
#4.5
Ca dépend. Un médecin en cabinet n'a pas vraiment d'obligation, tandis que pour un établissement de santé, c'est 20 ans après le dernier passage du patient, ou 10 ans après son décès.
https://www.service-public.fr/particuliers/vosdroits/F12210
#4.4
Malheureusement, les notaires demandent souvent à leurs clients de payer par virement, en leur adressant un RIB par mail.
Quand on couple ça avec des "systèmes d'information" qui tiennent plus du bricolage qu'autre chose, on comprend bien que les officines deviennent des cibles privilégiées pour les hackers, qui interceptent les mails sortants et remplacent le RIB du notaire par le leur.
Sans compter toutes les autres arnaques qui doivent exister mais dont je suis pas au courant...
#5
Quelq'un peux m'eclairer ?
#5.1
Ce sont les informations nécessaires pour facturer les actes auprès des caisses (caisses obligatoires type CPAM ou caisses complémentaires alias mutuelles).
Certaines de ces informations sont nécessaires pour distinguer un assuré de ses ayants-droits. Ainsi, un enfant n'est pas connu par le système avec son propre code INSEE (avant ses 16 voir 18 ans) mais avec celui de ses parents, ils font donc d'autres informations pour le distinguer.
Ensuite, la carte mutuelle n'apporte aucune garantie de paiement au professionnels de santé quand il fait le tiers-payant. En effet, elles ont souvent une validité d'un an. Et tu peux changer de contrat ou de mutuelle au cours de l'année.
Pour s'en prémunir, tu peux t'abonner à des systèmes comme Visiodroit (https://www.visiodroits.fr/) qui vont interroger la mutuelle et te garantir le paiement. Cela ne prend que quelques secondes, si c'est rejeter tu peux refuser le tiers payant.
Une pharmacie peut drainer beaucoup de monde, donc faire beaucoup de requêtes, étaler sur plusieurs mois avec plusieurs compte usurpés, cela ne doit pas être détecté. Malheureusement, les confrères pharmaciens ne sont pas meilleurs que la population générale sur la sécurité informatique.
#5.2
#5.3
#6
#6.1
#6.2
(une référence parmi d'autres:
https://www.theregister.com/2024/01/24/microsoft_latest_breach_cozy_bear/)
#6.3
Rappelle moi, de quand date la dernière fuite de donnée du Health Data Hub ?
#7
J'ai cru comprendre dans certains commentaires qu'il n'y avait pas de double authentification pour accéder à ce genre de données sensibles...
#7.1