Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Une de plus… fuite de données à l’Assurance retraite sur 370 000 bénéficiaires

Le 13 septembre à 18h33

Vivement que cette semaine horrible sur les fuites de données se termine. Après Boulanger, Cultura, DiviaMobilités, Truffaut, Cybertek et Grosbill (qui font partie du même groupe) c’est au tour du portail en ligne PPAS (Portail Partenaires de l’Action sociale), hébergé par la Cnav, caisse nationale de l’Assurance retraite, d’être victime d’une fuite de données.

Cette fuite, selon le communiqué de l’Assurance retraite, est « appuyée sur des usurpations de comptes de prestataires de l’action sociale ». Il indique qu’une « mobilisation immédiate » de ses équipes techniques a « permis d’en identifier la cause ». Le portail est indisponible, pour le moment hors-service.

Il indique en effet que, « pour cause de maintenance, le Portail Partenaires Action Sociale est indisponible. Merci de votre compréhension ». L’Assurance affirme évidemment que « tout est actuellement mis en œuvre pour le rétablir ».

La liste des données personnelles comprend des adresses, numéros de Sécurité sociale ainsi que montant approximatif des ressources. Les informations d’« environ 370 000 bénéficiaires » ont ainsi été compromises. « Il s’agit de données pour la plupart anciennes : certaines des personnes concernées sont par exemple décédées », précise le communiqué.

On se rassure comme on peut : « Aucune donnée bancaire, aucune donnée relative au paiement, à la retraite, à la carrière ou aux prestations versées n’ont été compromises ». La CNIL a été informée, comme la loi l’oblige d’ailleurs en pareille situation. « Les personnes concernées seront informées; une plainte sera en parallèle déposée ».

La fin du communiqué pourrait presque prêter à sourire : « Face à la grande circulation de données personnelles sur le darkweb, les tentatives d’usurpation d’identités se multiplient. L’Assurance retraite invite donc l’ensemble de ses assurés à la plus grande vigilance sur leurs données personnelles ». On aimerait que toutes les entreprises appliquent « la plus grande vigilance à nos données personnelles ».

Comme nous l’expliquions dans un édito au début de l’année, Internet ressemble malheureusement de plus en plus à un annuaire des Français à ciel ouvert… 370 000 c’est une goutte d’eau face aux 10 millions chez Pôle emploi, 33 millions du tiers payant et les 43 millions de France Travail. Mais avec une petite nouveauté dans le cas de l’Assurance retraite : le « montant approximatif des ressources ».

Le 13 septembre à 18h33

Commentaires (16)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
D´ici quelques mois, il sera plus rapide de faire une news sur qui n´a pas subi de fuite de données dans la semaine. :frown:
votre avatar
C'est la rentrée. Les hackeurs sont rentrés de vacances et font du zèle.
votre avatar
Mais avec une petite nouveauté dans le cas de l’Assurance retraite : le « montant approximatif des ressources ».
Ici, je vois surtout en sus le numéro de sécu. qui permets quant même pas mal de chose.
votre avatar
Les numéros de Sécurité sociale ont déjà bien plus largement fuité lors des prédécentes fuites.
votre avatar
Yep, j'étais complètement passé à côté qu'ils avaient récupéré le numéro de sécu. à Pole Emploi et France Travail.
votre avatar
Est-ce que Flock pourrait faire un dessin avec un tampon, dans le style :
"vous en avez marre des fuites ? utilisez le !"
votre avatar
combo avec une attaque par dépassement de tampon ?
votre avatar
Au bout de 7 ans de bons et loyaux services, j'ai enfin changé mon tampon.

Celui de la boite, hein..
votre avatar
"fuite"

Une fuite sur un évier ne blâme pas son propriétaire, car ce n'est a priori pas de sa faute.

Pour un vol de données, la non-sécurité du système d'information doit engager une responsabilité du propriétaire du SI : commençons déjà par du vocabulaire approprié.
votre avatar
Pour une fois, lire ceci est très rafraichissant. Et plus que bienvenu.
« Face à la grande circulation de données personnelles sur le darkweb, les tentatives d’usurpation d’identités se multiplient. L’Assurance retraite invite donc l’ensemble de ses assurés à la plus grande vigilance sur leurs données personnelles »
Espérons que ce passage sera vraiment bien mis en avant dans la communication aux personnes concernées ...
votre avatar
Je pense que pas mal de gens vont le lire comme cela: « on sais que vous êtes déjà totalement à la ramasse sur le numérique mais en plus des démarches auxquelles vous ne comprenez plus rien, vous serez responsables d'éviter des nouveaux pièges auxquels personne ne vous as préparé. Bon courage. Bisou. »
votre avatar
Encore la faute aux prestataire? Mais pourquoi cela se passe ainsi ?

Facile, le principe de la prestation est de comprimer les coûts et se dédouaner de tout ce qui peut arriver en suite. Les belles histoires de recentrage sur le métier, c'est juste de la com pour faire vibrer les actionnaires ou autorités de tutelle. La sous-traitance, c'est avant tout payer pour se débarrasser d'un risque.

Pour changer cela, il faudrait rendre responsable les donneurs d'ordre sur une base simple: tout donneur d'ordre doit s'assurer des compétences de ses fournisseurs lors des appels d'offre et pendant l'exécution des contrats.

Comment peut-on s'estimer non coupable quand on ne choisi ses fournisseurs que sur la base du prix et argumenter que l'on ne savait pas ? Ne pas vouloir savoir est la base sur laquelle j'aimerai que tous ces décideurs soient personnellement mis en cause pour faute grave ainsi que toute leur hiérarchie qui ne peut pas ne pas savoir.

Cela est tout autant valable dans le cadre technique des piratages que dans le cadre social des livreurs de colis ou de nourriture qui ne peuvent en aucun cas respecter les règles du code de la route pour espérer survivre vu les conditions qu'on leur impose.
votre avatar
Sincèrement y a prestataire et prestataire .. en SSII réseau , tu veux faire des choses pour sécuriser ,
mais énormément de SSII de progiciel te brident car leur logiciels fonctionnent uniquement en mode superadmin ( bon surtout ceux avec clients lourds ), eux faut vraiment se poser la question si ils ne sont pas responsable aussi
votre avatar
Avec des cahiers des charges indigents rédigés par des quiches, impossible légalement de blâmer les sous-traitants. Au pire, la demande de refaire les choses en accord avec les bonnes pratiques de sécurité sera traitée comme une évolution de périmètre et l'occasion de facturer un truc en plus.
votre avatar
Je trouve ça un peu abérrant " les bonnes pratiques de sécurité traitée comme une révolution pour facturer plus " ? alors que les devs et la boîte développent de façon criminelles leur logiciels sans aucune sécurité de base connue depuis windows NT4 ..

Et l'histoire du cahier des charges c'est bien quand tu parles de d'un développement et achat d'un logiciel fait pour une boîte , mais les TPE PME ont pas vraiment le luxe de faire ce genre de choses , ils prennent ce qu'il y a sur le marché
votre avatar
Ah shit, here we go again.

Une de plus… fuite de données à l’Assurance retraite sur 370 000 bénéficiaires

Fermer