« En fin de semaine dernière, l’assurance maladie a détecté que des personnes non autorisées ont réussi à se connecter à des comptes « amelipro », réservés aux professionnels de santé. Il ressort des premières analyses que les attaquants ont pu se connecter à des comptes dont les adresses e-mail avaient été compromises (19 comptes de professionnels de santé ont été identifiés). Via ces connections, les attaquants ont procédé à des interrogations « en chaîne », avec l’utilisation d’un robot, d’un service dénommé « Infopatient » donnant accès à partir de numéros de sécurité sociale à certaines informations administratives d’assurés. Les données concernées sont les données d’identité (nom, prénom, date de naissance, sexe), numéro de sécurité sociale, ainsi que des données relatives aux droits (déclaration d’un médecin traitant, attribution de la complémentaire santé solidaire ou de l’aide médicale d’Etat, éventuelle prise en charge à 100%). Les coordonnées de contact (email, adresse, téléphone) et coordonnées bancaires, ainsi que les données relatives aux éventuelles pathologies / maladies et à la consommation de soins, ne sont pas concernées.
Dès l’identification de l’attaque et des comptes à l’origine de ces sollicitations anormales du service « Infopatient », les adresses IP concernées ont été bannies et les comptes des professionnels de santé réinitialisés. De plus, l’assurance maladie continue de surveiller les éventuelles anomalies d’identification aux téléservices du portail « amelipro ». En l’état des investigations, qui se poursuivent, 510 000 assurés sont concernés par cette fuite de données. Ceux-ci seront informés individuellement de cet incident et sensibilisés au risque accru d’hameçonnage dont ils pourraient faire l’objet. Une information est également prévue à destination des professionnels de santé afin de les inviter à renforcer la sécurisation de leur compte « amelipro ». L’assurance maladie a adressé une notification à la Cnil le 16 mars 2022 et dépose ce jour une plainte pénale ».
Du point de vue de la sécurité, et si l’assurance maladie a établi un diagnostic correct, cela signifie que les permissions et les privilèges des comptes professionnels accédant aux données personnelles des patients peuvent être escaladés par un robot, une moulinette dont on trouve les scripts en libre accès sur internet et que l’accès aux dites données ne bénéficie pas d’une protection OTP (One Time Password ou mot de passe à usage unique) pourtant usitée par toutes les banques et par la plupart des commerçants en ligne (Amazon, assureurs, EDF, etc.). Peut-être que « l’usager » ne le mérite pas ?
Grand chelem ou comment botter en touche
Après que notre vaillant XV de France a gagné de haute lutte le tournoi des six nations, l’assurance maladie tend à se dégager de toute responsabilité. Selon elle, des vilains auraient compromis des comptes professionnels « amelipro » chez des médecins de 19 établissements différents parmi les plus importants donc par définition parmi les mieux protégés. C’est donc par ce truchement et cette pénétration fallacieuse que les données ont été dérobées à l’insu du plein gré de tous les moyens de défense et de sécurité. L’Assurance maladie précise « qu’il ne s’agit pas tant d’un piratage que d’une connexion non autorisée à des comptes « amelipro » et d’ajouter que « les organismes médicaux concernés ont sans doute été victimes de phishing (hameconnage) et qu’ainsi les pirates ont pu prendre le contrôle des boîtes emails pour ensuite se connecter au portail professionnel. Des robots auraient alors pris la main pour aspirer les données des patients ». Vous apprécierez les éléments de langage digne d’un grand oral. On dirait du McKinsey dans le texte.
L’honneur est sauf mais peut-être pas sain
Une plainte pénale a été diligentée, la Cnil a été prévenue, les adresses IP des maraudeurs ont été bloquées et l’assurance maladie va contacter les patients victimes – rien que de normal c’est la loi -. Bonne fille, l’assurance maladie blanche comme une colombe appellera – ce n’est pas encore fait ? – les professionnels à renforcer la sécurité de leurs comptes. Mais que font les directeurs d’établissements, les DRH les directeurs juridiques (RGPD), les DPO (RGPD), les RSSI (PLFFSI-S), les DSI – qui tous croulent sous les juteuses subventions et les compétences de haut niveau justement rémunérées - , le HFDS, les FSSI, l’ANSSI, la HAS et la cellule Cyber du ministère de l’Intérieur, etc.
On s’attend à des sanctions terribles ! Un directeur d’établissement public me disait récemment « si une sanction est attribuée par la Cnil, l’Etat pourvoira au dédit, quant aux sanctions pénales d’un directeur …. A-t-on déjà vu un directeur d’établissement (mandataire social) - aller en prison pour un problème de sécurité – pourtant c’est une disposition légale – alors que l’Etat continue à fermer des lits en périodes de pandémie et demande de faire des économies chaque année ? »
En attendant, comme l’aurait dit le philosophe chinois Qi Tchi Tsu (125 AJC), « pour l’assurance maladie c’est la Pâtée impériale » et s’agissant de sa courageuse direction, mal jouer le silence relève du génie.
(*) Regimber : se dit d’un âne qui recule devant l’obstacle.
Dr Joëlle Belaïsch-Allart : « S’il faut respecter le non-désir d’enfant, le renoncement à la parentalité doit interpeller »
Visite médicale d’aptitude à la conduite : le permis à vie de nouveau sur la sellette
Le dispositif Mon soutien psy peine à convaincre, la Cnam relance l’offensive com’
Ouverture du procès d’un ancien psychiatre de l’AP-HM jugé pour viols et agressions sexuelles sur quatre patientes