« Les noms, prénoms, dates de naissance, codes postaux et – pour plus d’un quart de la base – adresses mails » de 80 000 adhérents et ex-clients d’Emoa Mutuelle du Var ont été dérobés, deux fois, et mises en vente « sur des plateformes cybercriminelles », révèle CheckNews.
« Près de 3 000 victimes voient également leur numéro de sécurité sociale divulgué. Et, pour certaines, c’est carrément la photocopie de leur passeport ou l’ensemble de leurs coordonnées bancaires (RIB, IBAN, BIC) qui se retrouvent dans la nature, grâce à des liens accessibles dans le fichier volé. »
Une première fuite avait été repérée en mars dernier par l'ANSSI. Elle avait prévenu la mutuelle, qui avait elle-même notifié ses assurés concernés, ainsi que la CNIL, comme le veut la loi.
Or, « un mois plus tard, la mutuelle est de nouveau la cible d’un piratage. Les "mesures de sécurisations adaptées" semblent, au mieux, ne pas avoir fonctionné : c’est le même serveur qui a été ciblé ».
La fuite concerne cette fois un « annuaire avec les noms des salariés, liste de leurs mails avec certains mots de passe, calendrier des commerciaux de la mutuelle, ou encore le contenu des échanges d’une messagerie interne de l’entreprise » : « Et surtout, plusieurs bases qui contiennent les données personnelles de dizaines de milliers de personnes affiliées à cette mutuelle. »
Damien Bancal, qui chronique et documente la cybercriminalité depuis des années sur zataz.com, avait alerté la mutuelle dès le mois d'avril, mais cette dernière « a voulu s’assurer que cette personne était légitime. On a demandé à l'ANSSI, qui ne nous a pas répondu. »
Il a fallu attendre que CheckNews « explique précisément la nature de la faille concernant l’accès aux documents sensibles de la mutuelle, pour que celle-ci soit en mesure de la combler, ce jeudi 28 juillet ».
Bancal avait pourtant alerté l'ANSSI qui, « sollicitée par CheckNews, n’a pas souhaité faire de commentaire ».
Commentaires (62)
#1
A quand de lourdes amendes pour défaut de sécurisation ? Ah non, c’est juste bon pour le particulier qui configure mal sa box, pas pour les entreprises qui disposent de SI c’est open bar
#2
Ce serait super délicat de faire ça.
Pour les petits infogérants (comme moi) cela mettrai de petites société dans une insécurité qui ne serait pas acceptable. Tous le monde peut se faire pirater même les plus gros.
#2.1
Ouais, enfin, là c’est 2 fois d’affiler sur le même serveur quand même…
#2.3
Oui c’est clairement abusé pour ce genre de structure, on est bien d’accord.
Je réagissait juste pour porter à l’attention de @Boris les effets collatéraux de ce genre de propositions.
Nul doute que si on en venait là il y aurai des seuils pour les petites structures.
Les lois “anti gafam” font parfois mal aux petits acteurs.
#2.2
Et pourtant, la loi prévoit des sanctions. Affaire à suivre dans ce cas précis, du coup.
En tout cas, l’excuse du “ah, mais on nous a bien reporté un souci mais on a demandé à l’Ansii si la personne était légitime et personne ne nous a répondu, donc on n’a rien fait”, ça ressemble pas mal à du foutage de gueule.
Les petits infogérants, quand on leur met le nez dans le caca, j’imagine qu’ils font quand-même le minimum pour vérifier que ça en est bien, avant de se demander si la personne qui l’a fait est légitime à le faire, non…?
#2.4
Je comprends pas trop la question :(
je suis indépendant depuis 15 ans et je fais mon travail au mieux. Je n’ai jamais perdu une donnée ou m’ai fait pourrir une machine. Mais il y a aussi des débutants dans ce métier et la sécu absolue n’existe pas.
Je dis juste qu’il faut faire attention aux petits écosystèmes.
#2.5
c’est bon signe, si tu comprends pas la question
Je disais simplement que de ton côté, si quelqu’un te dit qu’il y a un souci de sécurité sur un site que tu gères, ton réflexe sera peut-être de vérifier qu’il y a effectivement un problème et, si oui, de le régler. Pas de demander à l’Ansii si la personne qui t’a remonté le problème est légitime à le faire sans rien faire en attendant une hypothétique réponse.
#2.6
Ha c’est plus clair :)
Bien sur que je le prends en compte.
Certains clients font faire des pentest réguliers sur leurs applications et les serveurs d’hébergement.
Ça coûte assez cher et ce n’est pas la majorité.
Mon boulot c’est le paramétrage des OS, les mises à jours, les backup externalisés, les PRA, le firewall et les pots de miel, la qualité de services etc.
Tout ça c’est bien, mais si tu à un hacker de “haute volé” qui est à tes basques….
L’immense majorité des problèmes se trouvent au niveau du code PHP des sites web, mais ça, ce n’est pas dans mon périmètre.
Je restaure régulièrement des Wordpress piratés parfois depuis plusieurs mois par exemple.
#2.15
moi c’est pareil, je suis couvreur, si il y a du vent violent non dominant et que j’ai pas mis le parevapeur, j’y peu rien si de l’eau rentre
, j’ai un métier et j’ai autre choses a faire plus professionnel.
de toute façon la décennal est la pour cela
, me faite pas
avec des pb qui ne me concerne pas, sans déconner, le client avait cas le demander.#2.16
ça dépend, le pare-vapeur fait partie de la prestation de base ou c’est une options avec documentation explicite au client qui a refusé sciemment en disant un truc du genre “m’en fout c’est trop cher, de toute façon le vent est jamais violent” … ?
note que c’est pas forcément le couvreur qui aurait du prendre la décision de mettre un pare-vapeur, c’est peut-être le promoteur immobilier qui à fait construire qui à viré l’option, le client/locataire s’en mord les doigts, le couvreur à pas eu voix au chapitre pour argumenter que le pare-vapeur c’est mieux …
edit : typo
#2.7
Désolé mais l’argument du “petit” ne tient pas. Sous prétexte qu’on n’a pas beaucoup de moyen, il ne faudrait prendre les précautions de base en matière de sécurité ? Concernant la news, la mutuelle a été avertie, et n’a rien fait. Mais c’est pas grave parce qu’elle est “petite” ?
#2.8
A mon avis, au pire, c’est la faille précédente n’a pas été bouchée ou alors ils n’ont pas compris (complètement ou pas du tout) ce qui c’est passé.
Ou alors le problème se trouvait au niveau du serveur et pas de l’applicatif.
#2.9
Le petit infogérant (ou toute autre entreprise en charge de données) qui réussit à se faire hacker deux fois d’affiler il mérite un peu d’insécurité. Surtout quand il s’agit de données sensibles telles que des données médicales.
Et pas que les petits d’ailleurs. Une amende de 200% du CA annuel pour la deuxième fuite de données sensibles ça en calmerait plus d’un.
#2.10
Tu confondrais pas chiffre d’affaire et bénéfice ? Parce que 200% du CA, autant fermer la boite.
#2.11
En plus là c’est une mutuelle, donc sans but lucratif. C’est à dire que l’amende, c’est les adhérents qui la paieraient.
#2.12
Non je ne confond pas ;-)
Quand une boite est incapable de sécuriser son infra au minimum, pas sûr qu’elle mérite de continuer à exister.
#2.13
Une petite boite est incapable de gérer une amende de 200% de CA alors qu’une très grosse peut s’en sortir en prenant un crédit.
Là tu crées juste une injustice entre les petites et les grosses entreprises.
#2.14
Les grosses boites auront toujours les reins plus solides qu’une petite, ce n’est pas pour autant qu’il ne faut rien faire. Et même un grosse boite, 200% de son CA à payer, pas sûr qu’elle survive (je parle pas de mastodontes comme MS ou Amazon).
Amende à assortir d’une interdiction à traiter des données personnelles pendant X années, ça serait pas mal.
#3
Je fais de l’infogérance aussi et ce n’est pas vraiment acceptable d’entendre ça.
C’est tout de même pas insurmontable de mettre en place des contrat clair qui définisse les responsabilité entre l’infogérant et le client. Au niveau de l’infogérant si le boulot est fait les risques sont tout de même minime et les assurances existent en cas de problème. Coté client si du l’applicatif/code est fournit par lui, ou un de ces prestataires, il en est responsable et si il décide de continuer a utiliser des produits non maintenu et/ou contenant des failles connues c’est de sa responsabilité (d’autant plus quand il en a été prévenu à plusieurs reprise par son infogérant/client/cnil/…).
#4
Cela ne me surprends pas… mais d’un autre côté ils auraient pu aussi contacter leur équipe/presta pour vérifier ses dires, car ayant eu affaire à Damien, il fournis suffisamment d’informations pour prouver ses dires.
Je m’informe sur ZATAZ depuis des années, un jour j’ai vu passer un message Twitter de Damien qui interpelait un de mes anciens client. Après l’avoir contacté et m’être rendu rapidement compte qu’il s’agissait du projet sur lequel je travaillais quelques années plus tôt qui était la cible, c’est moi qui ai dû faire le lien entre Damien et le client en question (alors que je ne travaillais plus pour eux…), pour leur expliquer que “Non Damien Bancal n’est pas le pirate” et “oui il y a bien une fuite massive qu’il faut combler au plus vite”.
Tout les mails de Damien étaient passés à la poubelle, car selon le DPO “Oui mais son mail nous paraissait louche”, et ses appels refusés car “non on ne vous connaît pas”
#5
Tiens, mon ancienne mutuelle m’a envoyé un mail jeudi pour m’annoncer qu’ils avaient subis un ransomware qui a volé des infos (nom email adresse date de naissance) …. dont les miennes faisaient partie.
#6
Alors nous en sommes là ? Un média joue le rôle de régulateur alors que l’ANSSI dont c’est le cœur du métier, d’assurer la sécurité des systèmes d’infos (et de leurs donnés archi sensibles).
Tant mieux pour la précision de la nature de la faille ayant permis pour que cette dernière soit corrigée, choquée du rôle de chacun.
#6.1
de métier*
permis que*
(désolée, tapoté trop vite)
#7
“Tout les mails de Damien étaient passés à la poubelle, car selon le DPO “Oui mais son mail nous paraissait louche”, et ses appels refusés car “non on ne vous connaît pas” “
Il a appliqué le B.A BA de la sécurité, j’aurais sûrement fait pareil si j’avais reçu un courriel bancal.
#7.1
Ces courriers ne sont pas bancals généralement. Et comme dit @th3squal ils sont plutôt documenté.
Pour la petite histoire, une ancienne boite m’a contacté un jour pour savoir si je connaissais Damien et zataz, et si on pouvait lui donner crédit. Une fois que je les ais rassuré, ils ont pris leurs dispositions (bête injection sql).
#7.2
Je pense que c’était une blague sur le nom de Damien.
Mais si je reçoit un mail contenant bancal dans son adresse, j’aurais du mal à le trouver crédible.
#7.3
ahah j’ai ri désolé…
Blague à part! Qu’un mail passe à la poubelle je comprends clairement la méfiance. Qu’un mail, plus appel téléphonique passe à la trappe, de mon point de vue on se documente un peu sur le profil du gars, voire on avise le presta pour prendre les devants s’il s’agit d’une tentative plus osée ! On ne classe pas l’affaire si rapidement…
Tu as de la chance, ils t’on appelé! De mon côté, heureusement que j’avais lié amitié avec certaines personnes qui travaillaient encore sur place, ça à aidé à la démarche, car le DPO/DSI était tout aussi incrédule de m’entendre que de voir le mail de Damien, alors que 2ans auparavant j’étais dans leurs locaux. Il a fallu que je leur montre l’étendue de la faille, pour qu’au final ils me disent : “Vous pouvez tout désactiver?”
Par chance (ou inconscience) ils n’avaient même pas résilié mes accès…
#7.4
Néanmoins, cette Mutuelle aurait pu se renseigner très vite fait sur Damien Bancal, son site web ZATAZ et ses activités. C’est d’une inculture et d’une paresse absolument inadmissible ! Les conséquences sont lourdes pour les clients…
#7.5
La blague est validée.
Cela étant, même moi qui ne suis pas dans l’IT, je connais Damien Bancal.
Faut arrêter de se trouver des excuses.
#8
On ne peut pas savoir quelles failles ont été utilisées alors il serait bien de se garder d’avoir un point de vue moralisateur sur l’affaire. C’est bien malheureux pour cette mutuelle mais surtout pour les assurés.
La CNIL va faire son travail et sanctionnera d’ici quelques temps assurément.
Il est tout à fait possible que l’accès au SI ait subsisté après les premières mesures mises en place. Certaines failles ne sont pas visibles avant longtemps sauf à faire du forensic et ça, ça coûte du pognon que certaine PME ne sont pas prêtes à dépenser.
#8.1
C’est une mutuelle santé. Elle se doit donc de protéger particulièrement les données personnelle qu’elle traite.
Si elle n’a pas les moyens de le faire, qu’elle arrête ou fusionne avec une autre mutuelle plus grosse qui, elle, a les moyens.
Et sa façon de traiter l’alerte est assez désinvolte.
#8.2
Comment veux-tu qu’elle traite ces données vu que manifestement c’était déjà pas son serveur…
#8.3
Je suis d’accord à 100%.
#9
Ce n’est pas le rôle de l’ANSSI de gérer la sécurité d’entreprises privées.
#10
Négligence coupable, non ?
#10.1
Dans une certaine mesure oui, il ne semblent pas maîtriser leurs chaîne de sous traitance…
#11
Une fois je peux comprendre, deux, il y a un souci.
#12
Le peuple lui, peut se brosser.
#13
J’imagine qu’ils ne sont pas les seuls à fonctionner ainsi.
#14
Dans le bâtiment, y’a toujours un DTU pour formaliser les “règles de l’art”… et sur lequel s’appuyer en cas de non conformité si qqun décide de faire des économies.
#15
Le mec se nomme “Bancal” aussi, ça aide pas!!!
#15.1
Et sa fiche wikipedia fait un peu peur.
#15.2
Quand on lit le chapitre “Procès de Zataz à la suite de la plainte de Forever Living Products” on se demande si il se défend mal ou si il y a un autre problème.
#15.3
Il y a un autre problème. Il y a plusieurs affaire dans le genre, comme l’affaire Bluetouff par exemple.
#15.4
Le problème de ce genre de recherche, c’est qu’elles sont à la limite du légal. Pour identifier les entreprises piratées, il doit avoir accès a la faille, et la documenter pour une potentielle plainte à la CNIL. Il souhaite avant cela informer l’entreprise, et lui laisser une chance de gérer la crise et déclarer elle même à la CNIL. Sauf que parfois ça coince…
S’il déposait plainte tout de suite à la CNIL il n’aurait pas ce genre de soucis… Et les sociétés concernés auraient une obligation de réussite !
Parfois, les sociétés qu’il contacte corrigent la faille sans en référer à la CNIL ni informer les personnes concernées, elles se mettent elle même dans l’illégalité ! Du coup il faut un alibi quand ils se font chopper, tout trouvé !
#16
défaut de sécurisation, selon les échos entendus, c’est 10% du CA, par la CNIL.
si tu suis nextinpact, ya quelques mois une compagnie aérienne britannique était en défaut là dessus..
#17
Et si demain cela arrive à ton entreprise ? Aura-t-elle le droit de continuer d’exister ou bien devra-t-elle fermer et mettre tous ses salariés au chômage ?
Si le responsable sécurité d’un ancien contexte où j’ai travaillé avait eu cette réaction, nous n’aurions été informés que bien plus tard d’une fuite de credentials utilisateurs sur Internet. Et pas de la façon la meilleure pour le coup. C’est un comportement irresponsable que d’ignorer une alerte sans un minimum d’analyse.
#18
#19
Dans le cas d’une boite qui traite des données personnelles sensibles et ne les sécurise pas correctement, oui, il faudrait qu’elle ferme. C’est triste pour les employés, mais les boites qui coulent par l’incompétence de quelques-uns, il y en a plein. Et c’est bien beau de penser aux employés, mais les gens qui voient leurs données sensibles fuiter dans la nature, on y pense ?
#20
Ce qu’ils font. Il y a plein de guides sur le site de l’ANSSI pour les DSI qui s’intéressent à la sécurité informatique de leur entreprise.
Après si les décideurs dans les entreprises accordent plus de crédit à un média inconnu qu’à une agence gouvernementale, ça les regarde…
#21
Lol.
Des bras cassés ces informaticiens, c’est vraiment un des domaines de la technique où c’est courant et accepté, voire devenu la regle de l’art, de fournir un boulot de merde, sans cadre, sans norme, sans regles et sans contrainte.
Dans b’impirte quelle autre branche de la technique, fournir un travail de merde ainsi une fois, t’es tres mal vu, et deux fois t’es banni du metier
#21.1
Tu exagères ! Des normes et des méthodes appliquées consciencieusement il y en a : norme ISO1664 et méthode R.A.C.H.E pour citer les plus connues.
Blague à part c’est rarement celui qui pisse le code, l’informaticien “de base”, qui définit méthodes, règles, contraintes, tests de qualification, etc. Bien souvent hélas la seule contrainte qu’on lui donne vraiment c’est d’être dans le budget et dans les délais, la qualité passe après. Sans compter que les recruteurs sont de moins en moins regardant sur les profiles à embaucher, le moins cher est le meilleur. Et si on ne trouve pas en France on délocalise en Inde.
Donc d’accord avec ton constat mais pas sur l’entière responsabilité des informaticiens dans le “fournir un boulot de merde”.
#22
J’ai déjà effectué une plainte a la CNIL pour une fuite de donnée d’un organisme médical, et ils sont vraiment bien. Le process est long et un peu compliqué à comprendre je trouve mais au moins on est tranquille et le suivi est vraiment très pro.
#22.1
La CNIL fait un super boulot la dessus, ils sont de très bons conseils pour gérer ce genre de crises, et sur beaucoup d’autres sujets !
#23
On a tendance à appeler mutuelle aussi les complémentaires santé … je ne sais pas si c’est le cas ici
#24
L’écran sous toiture, et non pare-vapeur, fait l’objet d’un DTU comme le type de tuile … cet écran sous toiture est obligatoire en milieu dit exposé https://www.distriartisan.fr/blog/reglementation-ecran-sous-toiture/
#25
C est qu’elle mutuelle ?
#25.1
C’est écrit dans la brève.
#26
Normalement, le terme mutuelle désigne un organisme soumis au code de la mutualité.
Il existe des organismes assureurs soumis au code des assurances.
Les 2 types d’organisme font de la complémentaire santé.
D’où des fois la confusion dans l’esprit des gens, mais pas dans l’esprit des actionnaires des organismes assureurs.
#27
C’est qu’est-ce que je dis
#27.1
Je ne faisais que détailler votre commentaire très cher, sans le remettre en cause.
#28
No problemo, J’avais bien compris d’où le smiley …