Journal Les données de 510 000 personnes fuitent sur Ameli

Posté par  . Licence CC By‑SA.
13
19
mar.
2022

https://www.numerama.com/cyberguerre/890259-piratage-de-lassurance-maladie-comment-les-donnees-de-510-000-personnes-ont-fuite.html

Si vous avez reçu le message électronique de la sécurité sociale vous proposant de désactiver votre nouvel Espace santé créé de force, ne vous en privez pas : https://www.monespacesante.fr

  • # Mauvaise idée

    Posté par  . Évalué à 0.

    Même si le site est super-sécurité, l'Espace Santé est une très mauvaise idée et ça ne marchera jamais. En effet, on nous demande de centraliser sur notre compte des données à caractère personnel, qui plus est sensibles et nous ne serons pas les seuls à y accéder. Tous les professionnels de santé y accéderont, depuis leur ordinateur Windows bourré de logiciels vérolés (portes dérobées, enregistreurs de frappe) téléchargés sur internet. Oui, mais ces logiciels étaient gratuits, pratiques et amusants.

    • [^] # Re: Mauvaise idée

      Posté par  . Évalué à 10.

      Alors qu'aujoud'hui, notre parcours santé est stocké sur une base centralisée, sensible, à laquelle tous les professionnels de santé peuvent accéder.
      La différence ? Ah oui, moi, je n'ai accès à rien.

      Sans remettre en cause les questions légitimes sur la sécurité de ce système, je vois surtout l'Espace Santé comme une petite ouverture du système existant au patient.

    • [^] # Re: Mauvaise idée

      Posté par  (site web personnel) . Évalué à 5.

      l'Espace Santé est une très mauvaise idée et ça ne marchera jamais

      ça existait déjà sous le nom de DMP https://www.dmp.fr/

      • [^] # Re: Mauvaise idée

        Posté par  . Évalué à 4.

        tu n’étais pas obliger de créer un compte dmp avant et donc sans ton consentement il ne pouvait être créer

        • [^] # Re: Mauvaise idée

          Posté par  (site web personnel) . Évalué à 10. Dernière modification le 19 mars 2022 à 11:03.

          J'ai ouvert un compte il y a environ deux ans et je trouvais ça tout à fait pertinent parce que comme j'ai des problèmes de santé assez variés et que je consulte différents médecins (qui parfois quittent la région ou partent à la retraite donc je dois en trouver un autre) il me paraissait plus qu'intéressant d'avoir un dossier sur internet que chaque médecin puisse compléter et consulter (pour bien soigner il faut considérer la santé dans sa globalité) plutôt que de devoir raconter ma vie (médicale) à chaque consultation.

          Cependant, à ma connaissance, aucun des médecins ou professionnels de santé que j'ai consulté depuis ne l'a utilisé.

      • [^] # Re: Mauvaise idée

        Posté par  (site web personnel, Mastodon) . Évalué à 3. Dernière modification le 19 mars 2022 à 16:46.

        Et ça ne marchait déjà pas… Mais on tente de le refourguer et de forcer les créations de compte…

        “It is seldom that liberty of any kind is lost all at once.” ― David Hume

    • [^] # Re: Mauvaise idée

      Posté par  (site web personnel) . Évalué à 2.

      En commençant par rendre obligatoire l'utilisation d'une carte de professionnel de santé ça devrait limiter les risques.

    • [^] # Re: Mauvaise idée

      Posté par  (site web personnel) . Évalué à 6. Dernière modification le 19 mars 2022 à 12:36.

      ça ne marchera jamais

      Le monde est bourré de choses que certains pensaient ne jamais marcher, merci à ceux qui y croyaient.

      Et la perfection n'existe pas, c'est aussi une erreur de pas mal de monde de vouloir faire parfait ou rien, du coup le non parfait est utilisé et les autres peuvent pleurer (qui se souvient du parfait ATM voulu par entre autre des français comme super parfait contre un Ethernet/IP globalement américain imparfait?).

      ça marchera car il y a un besoin et que tu n'as rien d'autre de mieux à proposer pour répondre au besoin.

      • [^] # Re: Mauvaise idée

        Posté par  . Évalué à 1.

        Je suis assez d'accord avec toi. Il y a un réele besoin. En plus le truc est suffisamment bien fichu pour que si tu doutes, tu aies la possibilité de t'y opposer.

        Perso je ne donnerai pas mon accord dans l'immédiat car je suis du genre méfiant sur ce genre de nouveautés, mais quand ce sera suffiosamment mature, j'y viendrai.

        Peut-être qu'un bon moyen d'améliorer la confifentialité serait de cloisonner l'espace avec certaines informations non accessibles sans autorisation, plutôt que de faire du tout ou rien ? (c'est peut etre ce qui existe déjà mais je ne me suis pas encore penché sur la question).

        • [^] # Re: Mauvaise idée

          Posté par  (site web personnel) . Évalué à 6.

          Peut-être qu'un bon moyen d'améliorer la confifentialité serait de cloisonner l'espace avec certaines informations non accessibles sans autorisation, plutôt que de faire du tout ou rien ? (c'est peut etre ce qui existe déjà mais je ne me suis pas encore penché sur la question).

          En Belgique l'accès au service similaire pour le patient comme les praticiens se fait via une identification basée sur la carte d'identité.
          Et tu peux voir les médecins qui ont accédé au dossier ou qui ont ajouté des infos.

          • [^] # Re: Mauvaise idée

            Posté par  (site web personnel) . Évalué à -1.

            Pour une histoire risible (car faible, économies de bouts de chandelles) de coût on a enlevé la puce d'authentification des CI françaises…

            • [^] # Re: Mauvaise idée

              Posté par  (site web personnel) . Évalué à 8.

              je viens de refaire la mienne et il y a une puce https://fr.wikipedia.org/wiki/Carte_nationale_d%27identit%C3%A9_en_France

              • [^] # Re: Mauvaise idée

                Posté par  (site web personnel) . Évalué à -2.

                Il me semblais avoir lu ça il y a un moment, et forcément je n'arrive pas à retrouver trace pour le démontrer… Donc on efface mon précédent commentaire!

                Par contre, comme on a attendu le dernier moment par rapport à la directive européenne, on est à la traîne et il faut encore 9 ans avant que tous les français l'aient et que du coup ça soit utilisé…

                • [^] # Re: Mauvaise idée

                  Posté par  (site web personnel) . Évalué à 5.

                  On est pas à la traîne puisque ça fait longtemps que les utilisateurs ont une carte vitale à puce et les soignants une carte de professionnel de santé à puce également.

                  • [^] # Re: Mauvaise idée

                    Posté par  (site web personnel) . Évalué à 3. Dernière modification le 19 mars 2022 à 18:52.

                    Je l'avais oublié celle-la… Tellement "automatique" comme geste (rare pour moi, je touche du bois) que ça m'était sorti de la tête… Mais finalement, je suis perdu dans tout ça… finalement, pour la partie médicale (la CI pour le reste donc, et la retard) ce DMP/MES permet-il comme en Belgique qui a consulté, écrit, etc? Ça fait un moment que je ne suis pas allé chez un médecin dons pas encore eu l'occasion de voir en vrai la chose.

                    • [^] # Re: Mauvaise idée

                      Posté par  (site web personnel) . Évalué à 2.

                      Mais finalement, je suis perdu dans tout ça… finalement, pour la partie médicale (la CI pour le reste donc, et la retard) ce DMP/MES permet-il comme en Belgique qui a consulté, écrit, etc? Ça fait un moment que je ne suis pas allé chez un médecin dons pas encore eu l'occasion de voir en vrai la chose.

                      tu n'es pas le seul :-)
                      je n'ai vu de médecin ni en Belgique (pourquoi serais-je malade ?) ni en France depuis 2 ans…

                      donc, bon… Mais je sais scanner une carte, bin ya un peu trop de données accessibles :/ (ce qui remonte à plus de 5 ans pourrait être éventuellement utile, je ne suis pas médecin, pourquoi pas ?)

                      en clair, sans mon consentement, ça me dérange, vraiment (je puis élaborer).

                  • [^] # Re: Mauvaise idée

                    Posté par  . Évalué à 5.

                    ça fait longtemps que les utilisateurs ont une carte vitale à puce et les soignants une carte de professionnel de santé à puce également.
                    J'ignore les capacités de la carte des professionnels.

                    Mais je me rappelle qu'en TP d'école d'ingé, les informations de la carte Vitale étaient lisibles avec un simple lecteur de carte, et "codées" en BCD.

                    J'ai toujours la même carte Vitale depuis cette époque. Contrairement à ce qu'on savait déjà faire depuis la fin des années 1980 en cartes à puces, les cartes Vitale ne font pas de sécurité :
                    * pas d'authentification mutuelle du lecteur et de la carte
                    * pas de chiffrement des données de la carte
                    * …

                    • [^] # Re: Mauvaise idée

                      Posté par  . Évalué à 0.

                      Ou alors ce que tu as lu en TP c'était juste une toute petite partie du contenu de la carte et tu ne sais pas de quoi tu parles

                      Les données complètes d'une CV sont lisibles uniquement avec un lecteur dans lequel on met également une CPS

                      C'est pas pour rien que l'utilisation de ce système permet de faire des feuilles de soin électroniques signées avec des données certifiées…

                      • [^] # Re: Mauvaise idée

                        Posté par  . Évalué à 4.

                        Ou alors ce que tu as lu en TP c'était juste une toute petite partie du contenu de la carte et tu ne sais pas de quoi tu parles

                        Ou alors c'était au début des années 2000, avec des cartes de première génération (sans photo) qui ne contenaient qu'une EEPROM.
                        La partie certification n'est arrivée qu'avec la seconde génération.

                        Fracture générationnelle, tout ça..

                        Les vrais naviguent en -42

                • [^] # Re: Mauvaise idée

                  Posté par  . Évalué à 5.

                  De mémoire, il me semble que ça a été mis, puis supprimé, puis remis.

      • [^] # Re: Mauvaise idée

        Posté par  (site web personnel) . Évalué à 4.

        merci à ceux qui y croyaient

        Ou pas dans certains cas …

    • [^] # Re: Mauvaise idée

      Posté par  . Évalué à 7.

      Je me permets de citer un commentaire qui résume mon avis :
      https://www.reddit.com/r/france/comments/sjdbl3/comment/hvenhz6/?utm_source=share&utm_medium=web2x&context=3

      En gros, on a principalement des vieux technophobes qui ont fait merder le DMP. L'espace santé, c'est la seconde tentative pour éviter leur blocage.

      Et vu l'état de la prévention en France, on a véritablement besoin de ce partage d'information entre les professionnels de la santé.

      • [^] # Re: Mauvaise idée

        Posté par  (site web personnel) . Évalué à 4.

        Ce commentaire sur reddit est une tentative de campisme. Choisissez votre camp: vieux technophobe ou jeune technobéat.

        J'ai une autre analyse qui a l'avantage de ne mépriser personne: https://linuxfr.org/nodes/126873/comments/1883114

        Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

      • [^] # Re: Mauvaise idée

        Posté par  . Évalué à 1.

        La deuxième tentative seulement ? Au moins la 4 ou cinquième tentative. Le DMP est né en 2001…

        Dans les faits il existe déjà. Avec la T2A, toutes les hospitalisations sont codées. Il suffit de reprendre cette base de données pour connaitre l'état de santé de toutes les personnes passées dans un hôpital.

    • [^] # Re: Mauvaise idée

      Posté par  . Évalué à -10.

      Non, mais ça ce sont des discours "complotistes, antivax, antipass, antisémites et nazis" en plus…

    • [^] # Re: Mauvaise idée

      Posté par  (site web personnel) . Évalué à 6. Dernière modification le 21 mars 2022 à 08:20.

      Mon espace santé a déjà un problème de security by what could go wrong:

      https://linuxfr.org/nodes/126873/comments/1883174

      Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

  • # Mais pour

    Posté par  . Évalué à 3.

    L’objet de l’événement n’est pas un piratage mais une « connexion de personnes non autorisées à des comptes amelipro ». Si l’issue est la même, la cause est rassurante et semble indiquer que nos données ne sont pas en danger sur le site de l’Assurance Maladie, vraisemblablement bien sécurisé.

    [ … ]

    L’Assurance Maladie indique que 19 organismes médicaux ont été ciblés par les pirates. En prenant le contrôle de leurs boîtes mail (sans doute en leur demandant leurs mots de passe grâce à du phishing), ils ont pu réussir à se connecter au portail réservé aux professionnels de santé, celui sur lequel sont listés les patients (sûrement en cochant « mot de passe oublié »).

    Euh … dire que le site ameli n'est pas en cause c'est faux.

    Et le 2FA c'est pour qui ? N'aurait-ohn pas pu éviter ce genre de fuite avec un 2FA ?

    • [^] # Re: Mais pour

      Posté par  (site web personnel) . Évalué à 6. Dernière modification le 19 mars 2022 à 13:19.

      Il doit aussi être possible de limiter le nombre de patient vu par une seule personne.

      "La première sécurité est la liberté"

    • [^] # Re: Mais pour

      Posté par  (site web personnel) . Évalué à 4.

      Et le 2FA c'est pour qui ? N'aurait-ohn pas pu éviter ce genre de fuite avec un 2FA ?

      Lors des campagnes de vaccinations, j'ai vu des témoignages de médecin qui recevaient des demande de valider du 2FA (car tentative de connexion depuis un autre pc que le leur) et certains avaient cliqué sur "ok" par accident/inattention …

    • [^] # Re: Mais pour

      Posté par  (site web personnel) . Évalué à 3.

      Et le 2FA c'est pour qui ? N'aurait-ohn pas pu éviter ce genre de fuite avec un 2FA ?

      ça règle pas tout. Une autre attaque peut simplement le vol de cookie de session, voir de directement commander le navigateur (par exemple https://beefproject.com/ ).

  • # Dark pattern

    Posté par  (site web personnel) . Évalué à 3. Dernière modification le 19 mars 2022 à 13:03.

    J'ai désactivé l'espace santé de mes parents sur leur demande. J'ai été déçu de l'interface de leur site qui propose uniquement un lien pour «Activer mon espace santé». Pour le désactiver, il faut évidemment cliquer sur Activer… Mention honorable également pour le code unique à rallonge contenant majuscules et minuscules, pratique quand tes parents te le dictent au téléphone.

    Un LUG en Lorraine : https://enunclic-cappel.fr

  • # À qui profite le crime ?

    Posté par  (site web personnel) . Évalué à 2. Dernière modification le 20 mars 2022 à 16:59.

    L’Assurance Maladie indique que son service « Infopatient » a été ciblé. Les hackers ont obtenu les données d’identité (nom, prénom, date de naissance, sexe) de 510 000 personnes, leurs numéros de sécurité sociale ainsi que des données relatives aux droits (médecin traitant, attribution de la complémentaire santé solidaire ou de l’aide médicale d’Etat…). Elle promet qu’aucune information de contact (adresse, numéro de téléphone) ou bancaire n’a été obtenue. On ne sait pas encore ce qu’ils souhaitent en faire.

    Le communiqué de presse indique que Les coordonnées de contact (email, adresse, téléphone) et coordonnées bancaires, ainsi que les données relatives aux éventuelles pathologies / maladies et à la consommation de soins, ne sont pas concernées

    https://assurance-maladie.ameli.fr/sites/default/files/2022-03-17-Infopresse-Connexions-non-autorisees-comptes-amelipro.pdf

    Donc il ne s'agit pas de cibler directement les patients.

    Quel(s) peut-être le(s) but(s) de l'opération ?

    Arnaque à l'assurance maladie ? Usurpation d'identité ?

  • # Le numérique dans les autres pays

    Posté par  (site web personnel) . Évalué à 7.

    À titre de comparaison / d'information, je peux parler de ce que nous avons en Angleterre.

    Les services gouvernementaux demandent le MFA (Multifactor Authentication, aka Mother Fucker Authentication) pour tous les services.

    Les API sont publiées, voir l'exemple ci-dessous, et sur GitHub.

    https://docs.publishing.service.gov.uk/

    L'autre jour, en cherchant des infos sur GPG, je tombe sur cette page : https://docs.publishing.service.gov.uk/manual/create-a-gpg-key.html

    We use GPG keys to encrypt our secrets. Documentation for using your GPG key can be found here.

    Ce serait intéressant de savoir ce qu'il y a dans les autres pays ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.