Une de plus… fuite de données à l’Assurance retraite sur 370 000 bénéficiaires

Vivement que cette semaine horrible sur les fuites de données se termine. Après Boulanger, Cultura, DiviaMobilités, Truffaut, Cybertek et Grosbill (qui font partie du même groupe) c’est au tour du portail en ligne PPAS (Portail Partenaires de l’Action sociale), hébergé par la Cnav, caisse nationale de l’Assurance retraite, d’être victime d’une fuite de données.

Cette fuite, selon le communiqué de l’Assurance retraite, est « appuyée sur des usurpations de comptes de prestataires de l’action sociale ». Il indique qu’une « mobilisation immédiate » de ses équipes techniques a « permis d’en identifier la cause ». Le portail est indisponible, pour le moment hors-service.

Il indique en effet que, « pour cause de maintenance, le Portail Partenaires Action Sociale est indisponible. Merci de votre compréhension ». L’Assurance affirme évidemment que « tout est actuellement mis en œuvre pour le rétablir ».

La liste des données personnelles comprend des adresses, numéros de Sécurité sociale ainsi que montant approximatif des ressources. Les informations d’« environ 370 000 bénéficiaires » ont ainsi été compromises. « Il s’agit de données pour la plupart anciennes : certaines des personnes concernées sont par exemple décédées », précise le communiqué.

On se rassure comme on peut : « Aucune donnée bancaire, aucune donnée relative au paiement, à la retraite, à la carrière ou aux prestations versées n’ont été compromises ». La CNIL a été informée, comme la loi l’oblige d’ailleurs en pareille situation. « Les personnes concernées seront informées; une plainte sera en parallèle déposée ».

La fin du communiqué pourrait presque prêter à sourire : « Face à la grande circulation de données personnelles sur le darkweb, les tentatives d’usurpation d’identités se multiplient. L’Assurance retraite invite donc l’ensemble de ses assurés à la plus grande vigilance sur leurs données personnelles ». On aimerait que toutes les entreprises appliquent « la plus grande vigilance à nos données personnelles ».

Comme nous l’expliquions dans un édito au début de l’année, Internet ressemble malheureusement de plus en plus à un annuaire des Français à ciel ouvert… 370 000 c’est une goutte d’eau face aux 10 millions chez Pôle emploi, 33 millions du tiers payant et les 43 millions de France Travail. Mais avec une petite nouveauté dans le cas de l’Assurance retraite : le « montant approximatif des ressources ».

Commentaires (16)


D´ici quelques mois, il sera plus rapide de faire une news sur qui n´a pas subi de fuite de données dans la semaine. :frown:
C'est la rentrée. Les hackeurs sont rentrés de vacances et font du zèle.
Mais avec une petite nouveauté dans le cas de l’Assurance retraite : le « montant approximatif des ressources ».
Ici, je vois surtout en sus le numéro de sécu. qui permets quant même pas mal de chose.
Les numéros de Sécurité sociale ont déjà bien plus largement fuité lors des prédécentes fuites.

Sébastien Gavois

Les numéros de Sécurité sociale ont déjà bien plus largement fuité lors des prédécentes fuites.
Yep, j'étais complètement passé à côté qu'ils avaient récupéré le numéro de sécu. à Pole Emploi et France Travail.
Est-ce que Flock pourrait faire un dessin avec un tampon, dans le style :
"vous en avez marre des fuites ? utilisez le !"
Modifié le 14/09/2024 à 01h16

Historique des modifications :

Posté le 14/09/2024 à 01h13


Est-ce que Flock pourrait faire un dessin avec un tampon, dans le style :
"vous en avez marre des fuites ? utilisez !"

combo avec une attaque par dépassement de tampon ?

Dude76

combo avec une attaque par dépassement de tampon ?
Au bout de 7 ans de bons et loyaux services, j'ai enfin changé mon tampon.

Celui de la boite, hein..
"fuite"

Une fuite sur un évier ne blâme pas son propriétaire, car ce n'est a priori pas de sa faute.

Pour un vol de données, la non-sécurité du système d'information doit engager une responsabilité du propriétaire du SI : commençons déjà par du vocabulaire approprié.
Modifié le 14/09/2024 à 03h09

Historique des modifications :

Posté le 14/09/2024 à 03h08


"fuite"

Une fuite sur un évier ne blâme pas le propriétaire de l'évier, car ce n'est a priori pas de sa faute.

Pour un vol de données, la non-sécurité du système d'information doit engager une responsabilité du propriétaire du SI : commençons déjà par du vocabulaire approprié.

Pour une fois, lire ceci est très rafraichissant. Et plus que bienvenu.
« Face à la grande circulation de données personnelles sur le darkweb, les tentatives d’usurpation d’identités se multiplient. L’Assurance retraite invite donc l’ensemble de ses assurés à la plus grande vigilance sur leurs données personnelles »


Espérons que ce passage sera vraiment bien mis en avant dans la communication aux personnes concernées ...
Je pense que pas mal de gens vont le lire comme cela: « on sais que vous êtes déjà totalement à la ramasse sur le numérique mais en plus des démarches auxquelles vous ne comprenez plus rien, vous serez responsables d'éviter des nouveaux pièges auxquels personne ne vous as préparé. Bon courage. Bisou. »
Encore la faute aux prestataire? Mais pourquoi cela se passe ainsi ?

Facile, le principe de la prestation est de comprimer les coûts et se dédouaner de tout ce qui peut arriver en suite. Les belles histoires de recentrage sur le métier, c'est juste de la com pour faire vibrer les actionnaires ou autorités de tutelle. La sous-traitance, c'est avant tout payer pour se débarrasser d'un risque.

Pour changer cela, il faudrait rendre responsable les donneurs d'ordre sur une base simple: tout donneur d'ordre doit s'assurer des compétences de ses fournisseurs lors des appels d'offre et pendant l'exécution des contrats.

Comment peut-on s'estimer non coupable quand on ne choisi ses fournisseurs que sur la base du prix et argumenter que l'on ne savait pas ? Ne pas vouloir savoir est la base sur laquelle j'aimerai que tous ces décideurs soient personnellement mis en cause pour faute grave ainsi que toute leur hiérarchie qui ne peut pas ne pas savoir.

Cela est tout autant valable dans le cadre technique des piratages que dans le cadre social des livreurs de colis ou de nourriture qui ne peuvent en aucun cas respecter les règles du code de la route pour espérer survivre vu les conditions qu'on leur impose.
Sincèrement y a prestataire et prestataire .. en SSII réseau , tu veux faire des choses pour sécuriser ,
mais énormément de SSII de progiciel te brident car leur logiciels fonctionnent uniquement en mode superadmin ( bon surtout ceux avec clients lourds ), eux faut vraiment se poser la question si ils ne sont pas responsable aussi
Modifié le 15/09/2024 à 08h34

Historique des modifications :

Posté le 15/09/2024 à 08h34


Sincèrement y a prestataire et prestataire .. en SSII réseau , tu veux faire des choses pour sécuriser , mais énormément de SSII de progiciel te brident car leur logiciels fonctionnent uniquement en mode superadmin ( bon surtout ceux avec clients lourds )

Elwyns

Sincèrement y a prestataire et prestataire .. en SSII réseau , tu veux faire des choses pour sécuriser ,
mais énormément de SSII de progiciel te brident car leur logiciels fonctionnent uniquement en mode superadmin ( bon surtout ceux avec clients lourds ), eux faut vraiment se poser la question si ils ne sont pas responsable aussi
Avec des cahiers des charges indigents rédigés par des quiches, impossible légalement de blâmer les sous-traitants. Au pire, la demande de refaire les choses en accord avec les bonnes pratiques de sécurité sera traitée comme une évolution de périmètre et l'occasion de facturer un truc en plus.

wanou

Avec des cahiers des charges indigents rédigés par des quiches, impossible légalement de blâmer les sous-traitants. Au pire, la demande de refaire les choses en accord avec les bonnes pratiques de sécurité sera traitée comme une évolution de périmètre et l'occasion de facturer un truc en plus.
Je trouve ça un peu abérrant " les bonnes pratiques de sécurité traitée comme une révolution pour facturer plus " ? alors que les devs et la boîte développent de façon criminelles leur logiciels sans aucune sécurité de base connue depuis windows NT4 ..

Et l'histoire du cahier des charges c'est bien quand tu parles de d'un développement et achat d'un logiciel fait pour une boîte , mais les TPE PME ont pas vraiment le luxe de faire ce genre de choses , ils prennent ce qu'il y a sur le marché
Ah shit, here we go again.
Fermer