Piratage Ameli : plus d'un million d'assurés concernés

Piratage Ameli : plus d'un million d'assurés concernés

Le site Ameli a encore été victime d'un piratage. Les informations personnelles de plus d'un million de bénéficiaires de l'Assurance maladie sont en vente sur le Dark Web, y compris des coordonnées bancaires.

Ameli est encore victime d'un piratage informatique massif. Ce n'est certes pas la première fois que le site de l'Assurance Maladie subit une attaque (voir plus loin), les services de la Caisse nationale d'assurance-maladie (la Cnam) – Ameli pour le grand public et AmeliPro pour les professionnels de santé – étant particulièrement attrayants pour les pirates, dans la mesure où ils contiennent des données personnelles de dizaines de millions d'assurés. Mais cette nouvelle affaire est particulièrement grave. Comme le rapporte le service veille du site Zatac, spécialisé en cybersécurité, un million de comptes sont concernés cette fois. Pire encore, les informations associées à ces assurés sont en vente sur un forum de hackers pour la modique somme de 6 000 dollars – soit environ 5 700 euros. Et il ne s'agit pas uniquement de noms ou d'identifiants : le fichier piraté contient des informations extrêmement sensibles.

Piratage d'Ameli : mots de passe et coordonnées bancaires en vente

Les données personnelles dérobées par le hackeur comprennent des numéros de sécurité sociale, des identifiants et des mots de passe de compte. D'autres informations pourraient avoir été compromises puisque le site Ameli possède les adresses postales, mais aussi les coordonnées bancaires nécessaires au remboursement pour les praticiens. Les bénéficiaires du site sont donc exposés à des escroqueries et autres buts malveillants, comme l'usurpation d'identité ou des détournements de fond. Cette affaire est du plus mauvais effet quant à la sécurisation des informations sur les services de l'Assurance maladie, d'autant plus que, depuis février 2022, la Cnam incite le public à utiliser Mon espace santé, son tout nouveau service destiné à réunir et à conserver de façon sécurisée toutes les informations médicales de ses assurés en France (voir notre article)…

Ameli : des données personnelles très convoitées

Si la méthode utilisée par le pirate pour n'a pas été révélée, il s'agit probablement d'une campagne de phising – hameçonnage en français. De nombreux  SMS circulent actuellement pour demander le renouvellement de sa carte vitale expirée, avec bien évidemment un formulaire de saisie de coordonnées et un paiement électronique à la clef pour justifier des frais d'envoi, qui ne vont que de quelques centimes à quelques euros. Si le prix demandé semble dérisoire – cela rend la démarche plus crédible et amène à baisser sa vigilance –, il s'agit surtout de récupérer les données pour les exploiter. Cette technique est d'autant plus efficace que certains utilisateurs ne sont pas familiers avec les méthodes adoptées par les cybercriminels. Pour lutter contre ces arnaques, Ameli affiche désormais sur sa page d'accueil un bandeau alertant sur les appels, courriels et SMS frauduleux, avec de nombreux conseils pour s'en prémunir. Cependant, il est aussi possible que le pirate ait exploité une faille 0-day, une vulnérabilité informatique qui n'est pas encore connue ou non corrigée.

Ce n'est pas la première fois que ce genre d'incident arrive. En mars 2022 déjà, les informations personnelles de quelque 500 000 bénéficiaires de l'Assurance maladie avaient été dérobées. En se procurant les identifiants et les mots de passe de professionnels de santé (principalement des pharmaciens) et en utilisant un robot logiciel, les pirates avaient procédé à des interrogations "en chaîne" d'un service dénommé Infopatient donnant accès, à partir de numéros de sécurité sociale, à certaines informations administratives d'assurés. Parmi les données dérobées, figurent les noms et prénoms des assurés, mais aussi leur date de naissance, leur sexe, leur numéro de sécurité sociale et même les données relatives aux droits comme la déclaration d'un médecin traitant, la prise en charge à 100 % ou encore l'attribution de la complémentaire santé solidaire.

L'an dernier, le quotidien Libération révélait que les données personnelles de plus de 400 000 personnes étaient regroupées dans un fichier disponible sur le Web. Au menu, de nombreuses données sensibles comme les noms et prénoms des patients, mais aussi le numéro de sécurité sociale, numéro de téléphone, groupe sanguin, etc. Le fichier, qui proviendrait d'une base de données employée par des laboratoires d'analyses médicales du nord-ouest de la France, comprenait des informations recueillies entre 2015 et 2020 et ne bénéficiait d'aucun chiffrement.

Que faire pour se protéger ?

Afin de ne pas prendre de risques, vérifiez d'abord que vous n'avez pas répondu à un e-mail ou un SMS suspect semblant provenir de l'Assurance Maladie. La méthode de piratage n'étant pas connue, mieux vaut changer tous vos mots de passe d'accès au compte Ameli et surveiller attentivement l'activité de votre compte Ameli dans les semaines et mois à venir. Si vous vous retrouvez victime d'une fraude malgré tout, faites immédiatement opposition au 0 892 705 705 (disponible 24 h/24), puis auprès de votre organisme bancaire, changez vos mots de passe et déposez plainte au commissariat. Si vous repérez une tentative d'arnaque par SMS ou par téléphone, n'hésitez pas à le signaler à Signal Spam. Vous pouvez également signaler une adresse de site d'hameçonnage à Phishing Initiative qui en fermera l'accès. Malheureusement, ces campagnes sont de plus en plus courantes et il faut rester vigilant en permanence. Et pensez à consulter notre fiche pratique pour repérer et signaler toute tentative d'escroquerie.

Guide piratage