Piratage Ameli : plus de 500 000 assurés concernés

Piratage Ameli : plus de 500 000 assurés concernés

Grâce à une attaque d'Ameli en fin de semaine dernière, des pirates ont récupéré les informations personnelles de quelque 500 000 bénéficiaires de l'Assurance maladie. Les assurés concernés seront informés individuellement.

Les données de santé restent une mine d'or pour les pirates. Les services Ameli de la Caisse nationale d'assurance maladie (Cnam) et AmeliPro réservés aux professionnels de santé n'échappent donc pas aux attaques. Ainsi, en fin de semaine dernière, des pirates ont réussi à exploiter une faille. En se procurant les identifiants et mots de passe de 19 professionnels de santé (principalement des pharmaciens), ils ont déjà pu mettre la main sur les données personnelles de 510 000 bénéficiaires, selon l'Assurance maladie, qui précise n'avoir pas terminé ses investigations. Via ces connexions et en utilisant un robot, les attaquants ont procédé à des interrogations "en chaîne" d'un service dénommé Infopatient donnant accès, à partir de numéros de sécurité sociale, à certaines informations administratives d'assurés, précise la Cnam dans son communiqué officiel publié le 17 mars. Parmi les données dérobées, figurent les noms et prénoms des assurés, mais aussi leur date de naissance, leur sexe, leur numéro de sécurité sociale et même les données relatives aux droits comme la déclaration d'un médecin traitant, la prise en charge à 100 % ou encore l'attribution de la complémentaire santé solidaire.

Piratage d'Infopatient : pas d'information bancaire dérobée

Si ces informations sont bien confidentielles, l'Assurance maladie tient à préciser que "les coordonnées de contact (email, adresse, téléphone) et coordonnées bancaires, ainsi que les données relatives aux éventuelles pathologies/maladies et à la consommation de soins, ne sont pas concernées" par ce vol de données. On ne sait pas encore si les données personnelles d'autres assurés ont été récupérées par les pirates, mais cette affaire est du plus mauvais effet quant à la sécurisation des informations sur les services de l'Assurance maladie. En particulier au moment où la Cnam incite le public à utiliser Mon espace santé, son tout nouveau service destiné à réunir et à conserver de façon sécurisée toutes les informations médicales de ses assurés en France (voir notre article)…

Ameli : des données personnelles très convoitées

Sitôt l'attaque détectée, en raison des sollicitations anormales du site Infopatient, la Cnam a immédiatement banni les adresses IP servant aux connexions. Les comptes des professionnels de santé dont les identifiants avaient été compromis ont quant à eux été réinitialisés. La Cnam, qui a déjà porté plainte au pénal et adressé une notification à la Cnil (Commission nationale de l'informatique et des libertés), indique que les 510 000 assurés concernés par ce vol de données seront avertis individuellement de "cet incident". Ils seront aussi "sensibilisés au risque accru de hameçonnage dont ils pourraient faire l'objet". L'an dernier déjà, le quotidien Libération révélait que les données personnelles de plus de 400 000 personnes étaient regroupées dans un fichier disponible sur le Web. Au menu, de nombreuses données sensibles comme les noms et prénoms des patients mais aussi le numéro de sécurité sociale, numéro de téléphone, groupe sanguin, etc. Le fichier, qui proviendrait d'une base de données employée par des laboratoires d'analyses médicale du nord-ouest de la France, comprenait des informations recueillies entre 2015 et 2020 et ne bénéficiait d'aucun chiffrement.