En septembre dernier, l’AP-HP avait vu les données de 1,4 million de patient être subtilisées. Un jeune homme avait été par la suite arrêté. C’est au tour de l’Assurance Maladie d’annoncer un vol de données touchant pas moins de 510 000 assurés. L’organisme a publié un communiqué hier pour expliquer cette affaire et tenter de rassurer.
L’histoire commence à la fin de la semaine dernière où l’Assurance Maladie a détecté des connexions par des personnes non autorisées à Amelipro. Ce portail met à disposition des professionnels de santé un accès à plusieurs téléservices (consulter les paiements de l’Assurance maladie, la listes des patients, prescrire des arrêts de travail, des déclarations de grossesses, etc.). Après analyse de ces connexions, l’organisme a découvert que des pirates avaient réussi à se connecter à 19 comptes de soignants via leur email compromis. Par contre, le communiqué ne donne pas de détails sur ces 19 comptes (concernaient-ils un seul ou plusieurs établissements) et sur la façon dont les pirates ont franchi la barrière du mot de passe ou de l’identifiant par carte CPS pour accéder à Amélipro. Nous avons sollicité l’Assurance maladie sans pour l’instant obtenir de réponse.
510 000 assurés touchés et avertis
Les attaquants se sont ensuite servis de robots pour multiplier les requêtes sur le service Infopatient. Ce dernier comprend notamment des données administratives des assurés. Elles comprennent, « les données d’identité (nom, prénom, date de naissance, sexe), numéro de sécurité sociale, ainsi que des données relatives aux droits (déclaration d’un médecin traitant, attribution de la complémentaire santé solidaire ou de l’aide médicale d’Etat, éventuelle prise en charge à 100%) », précise l’Assurance Maladie. Par contre, les données de contact (email, adresse, téléphone), les données bancaires et les informations de santé ne sont pas concernées par la fuite.
Au total, 510 000 assurés sont concernés par cet incident et ont été avertis. Le plus gros risque étant de voir des campagnes de phishing menées avec les informations dérobées. Les adresses IP utilisés par les pirates ont été bloquées et les comptes des professionnels de santé ont été réinitialisés. Une notification auprès de la Cnil a été déposée, ainsi qu’une plainte pénale.
MAJ : L'Assurance Maladie a répondu à nos questions en indiquant que les professionnels de santé touchés appartenaient à des structures différentes. Sur la façon dont les emails ont été compromis, l'organisme souligne qu'ils l'ont été « à partir d’information se trouvant dans le darkweb, où se trouvent des listes d’adresses mail + mots de passe, préalablement hackés. Si le propriétaire du compte mail n’a pas changé son mot de passe depuis, alors l’attaquant a pu accéder à la messagerie en question ». Sur la problématique de l'identifiant , « soit le professionnel de santé a utilisé pour amelipro le même mot de passe que celui de la messagerie personnelle hackée et l’attaquant a pu accéder au compte directement. Soit le mot de passe a été modifié par l’attaquant par réinitialisation du mot de passe avec l’aide de la messagerie », déclare l'Assurance Maladie. Par prudence, elle vient de demander à l'ensemble des professionnels de santé de changer de mots de passe sur Amélipro la semaine prochaine.