Journal Les données de 510 000 personnes fuitent sur Ameli

Posté par tout le 19 mars 2022 à 09:44. Licence CC By‑SA.

Étiquettes :

mar.

2022

https://www.numerama.com/cyberguerre/890259-piratage-de-lassurance-maladie-comment-les-donnees-de-510-000-personnes-ont-fuite.html

Si vous avez reçu le message électronique de la sécurité sociale vous proposant de désactiver votre nouvel Espace santé créé de force, ne vous en privez pas : https://www.monespacesante.fr

# Mauvaise idée

Posté par tout le 19 mars 2022 à 09:51. Évalué à 0.

Même si le site est super-sécurité, l'Espace Santé est une très mauvaise idée et ça ne marchera jamais. En effet, on nous demande de centraliser sur notre compte des données à caractère personnel, qui plus est sensibles et nous ne serons pas les seuls à y accéder. Tous les professionnels de santé y accéderont, depuis leur ordinateur Windows bourré de logiciels vérolés (portes dérobées, enregistreurs de frappe) téléchargés sur internet. Oui, mais ces logiciels étaient gratuits, pratiques et amusants.
- [^] # Re: Mauvaise idée
  
  Posté par Christophe le 19 mars 2022 à 10:26. Évalué à 10.
  
  Alors qu'aujoud'hui, notre parcours santé est stocké sur une base centralisée, sensible, à laquelle tous les professionnels de santé peuvent accéder.
  La différence ? Ah oui, moi, je n'ai accès à rien.
  
  Sans remettre en cause les questions légitimes sur la sécurité de ce système, je vois surtout l'Espace Santé comme une petite ouverture du système existant au patient.
  - [^] # Re: Mauvaise idée
    
    Posté par devnewton 🍺 (site web personnel) le 21 mars 2022 à 08:08. Évalué à 3.
    
    La différence, c'est qu'il n'y a pas grand chose sur le DMP :-)
    
    Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
- [^] # Re: Mauvaise idée
  
  Posté par j (site web personnel) le 19 mars 2022 à 10:28. Évalué à 5.
  
  l'Espace Santé est une très mauvaise idée et ça ne marchera jamais
  
  ça existait déjà sous le nom de DMP https://www.dmp.fr/
  - [^] # Re: Mauvaise idée
    
    Posté par modr123 le 19 mars 2022 à 10:47. Évalué à 4.
    
    tu n’étais pas obliger de créer un compte dmp avant et donc sans ton consentement il ne pouvait être créer
    - [^] # Re: Mauvaise idée
      
      Posté par j (site web personnel) le 19 mars 2022 à 11:02. Évalué à 10. Dernière modification le 19 mars 2022 à 11:03.
      
      J'ai ouvert un compte il y a environ deux ans et je trouvais ça tout à fait pertinent parce que comme j'ai des problèmes de santé assez variés et que je consulte différents médecins (qui parfois quittent la région ou partent à la retraite donc je dois en trouver un autre) il me paraissait plus qu'intéressant d'avoir un dossier sur internet que chaque médecin puisse compléter et consulter (pour bien soigner il faut considérer la santé dans sa globalité) plutôt que de devoir raconter ma vie (médicale) à chaque consultation.
      
      Cependant, à ma connaissance, aucun des médecins ou professionnels de santé que j'ai consulté depuis ne l'a utilisé.
  - [^] # Re: Mauvaise idée
    
    Posté par Gil Cot ✔ (site web personnel, Mastodon) le 19 mars 2022 à 16:46. Évalué à 3. Dernière modification le 19 mars 2022 à 16:46.
    
    Et ça ne marchait déjà pas… Mais on tente de le refourguer et de forcer les créations de compte…
    
    “It is seldom that liberty of any kind is lost all at once.” ― David Hume
- [^] # Re: Mauvaise idée
  
  Posté par j (site web personnel) le 19 mars 2022 à 11:46. Évalué à 2.
  
  En commençant par rendre obligatoire l'utilisation d'une carte de professionnel de santé ça devrait limiter les risques.
  - [^] # Re: Mauvaise idée
    
    Posté par devnewton 🍺 (site web personnel) le 21 mars 2022 à 08:10. Évalué à 6.
    
    La CPS va devenir à terme une e-CPS: https://esante.gouv.fr/offres-services/e-cps
    
    L'application e-CPS fonctionne sur Androïd et iOS, elle est disponible sur les deux stores officiels Google Play et AppStore.
    
    Beurk.
    
    Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
- [^] # Re: Mauvaise idée
  
  Posté par Zenitram (site web personnel) le 19 mars 2022 à 12:36. Évalué à 6. Dernière modification le 19 mars 2022 à 12:36.
  
  ça ne marchera jamais
  
  Le monde est bourré de choses que certains pensaient ne jamais marcher, merci à ceux qui y croyaient.
  
  Et la perfection n'existe pas, c'est aussi une erreur de pas mal de monde de vouloir faire parfait ou rien, du coup le non parfait est utilisé et les autres peuvent pleurer (qui se souvient du parfait ATM voulu par entre autre des français comme super parfait contre un Ethernet/IP globalement américain imparfait?).
  
  ça marchera car il y a un besoin et que tu n'as rien d'autre de mieux à proposer pour répondre au besoin.
  - [^] # Re: Mauvaise idée
    
    Posté par totof2000 le 19 mars 2022 à 12:50. Évalué à 1.
    
    Je suis assez d'accord avec toi. Il y a un réele besoin. En plus le truc est suffisamment bien fichu pour que si tu doutes, tu aies la possibilité de t'y opposer.
    
    Perso je ne donnerai pas mon accord dans l'immédiat car je suis du genre méfiant sur ce genre de nouveautés, mais quand ce sera suffiosamment mature, j'y viendrai.
    
    Peut-être qu'un bon moyen d'améliorer la confifentialité serait de cloisonner l'espace avec certaines informations non accessibles sans autorisation, plutôt que de faire du tout ou rien ? (c'est peut etre ce qui existe déjà mais je ne me suis pas encore penché sur la question).
    - [^] # Re: Mauvaise idée
      
      Posté par Renault (site web personnel) le 19 mars 2022 à 13:48. Évalué à 6.
      
      Peut-être qu'un bon moyen d'améliorer la confifentialité serait de cloisonner l'espace avec certaines informations non accessibles sans autorisation, plutôt que de faire du tout ou rien ? (c'est peut etre ce qui existe déjà mais je ne me suis pas encore penché sur la question).
      
      En Belgique l'accès au service similaire pour le patient comme les praticiens se fait via une identification basée sur la carte d'identité.
      Et tu peux voir les médecins qui ont accédé au dossier ou qui ont ajouté des infos.
      - [^] # Re: Mauvaise idée
        
        Posté par Zenitram (site web personnel) le 19 mars 2022 à 13:54. Évalué à -1.
        
        Pour une histoire risible (car faible, économies de bouts de chandelles) de coût on a enlevé la puce d'authentification des CI françaises…
        
        [^] # Re: Mauvaise idée
        
        Posté par j (site web personnel) le 19 mars 2022 à 14:25. Évalué à 8.
        
        je viens de refaire la mienne et il y a une puce https://fr.wikipedia.org/wiki/Carte_nationale_d%27identit%C3%A9_en_France
        
        [^] # Re: Mauvaise idée
        
        Posté par Zenitram (site web personnel) le 19 mars 2022 à 17:29. Évalué à -2.
        
        Il me semblais avoir lu ça il y a un moment, et forcément je n'arrive pas à retrouver trace pour le démontrer… Donc on efface mon précédent commentaire!
        
        Par contre, comme on a attendu le dernier moment par rapport à la directive européenne, on est à la traîne et il faut encore 9 ans avant que tous les français l'aient et que du coup ça soit utilisé…
        
        [^] # Re: Mauvaise idée
        
        Posté par j (site web personnel) le 19 mars 2022 à 18:43. Évalué à 5.
        
        On est pas à la traîne puisque ça fait longtemps que les utilisateurs ont une carte vitale à puce et les soignants une carte de professionnel de santé à puce également.
        
        [^] # Re: Mauvaise idée
        
        Posté par Zenitram (site web personnel) le 19 mars 2022 à 18:50. Évalué à 3. Dernière modification le 19 mars 2022 à 18:52.
        
        Je l'avais oublié celle-la… Tellement "automatique" comme geste (rare pour moi, je touche du bois) que ça m'était sorti de la tête… Mais finalement, je suis perdu dans tout ça… finalement, pour la partie médicale (la CI pour le reste donc, et la retard) ce DMP/MES permet-il comme en Belgique qui a consulté, écrit, etc? Ça fait un moment que je ne suis pas allé chez un médecin dons pas encore eu l'occasion de voir en vrai la chose.
        
        [^] # Re: Mauvaise idée
        
        Posté par BAud (site web personnel) le 20 mars 2022 à 02:18. Évalué à 2.
        
        Mais finalement, je suis perdu dans tout ça… finalement, pour la partie médicale (la CI pour le reste donc, et la retard) ce DMP/MES permet-il comme en Belgique qui a consulté, écrit, etc? Ça fait un moment que je ne suis pas allé chez un médecin dons pas encore eu l'occasion de voir en vrai la chose.
        
        tu n'es pas le seul :-)
        je n'ai vu de médecin ni en Belgique (pourquoi serais-je malade ?) ni en France depuis 2 ans…
        
        donc, bon… Mais je sais scanner une carte, bin ya un peu trop de données accessibles :/ (ce qui remonte à plus de 5 ans pourrait être éventuellement utile, je ne suis pas médecin, pourquoi pas ?)
        
        en clair, sans mon consentement, ça me dérange, vraiment (je puis élaborer).
        
        [^] # Re: Mauvaise idée
        
        Posté par khivapia le 22 mars 2022 à 11:52. Évalué à 5.
        
        ça fait longtemps que les utilisateurs ont une carte vitale à puce et les soignants une carte de professionnel de santé à puce également.
        J'ignore les capacités de la carte des professionnels.
        
        Mais je me rappelle qu'en TP d'école d'ingé, les informations de la carte Vitale étaient lisibles avec un simple lecteur de carte, et "codées" en BCD.
        
        J'ai toujours la même carte Vitale depuis cette époque. Contrairement à ce qu'on savait déjà faire depuis la fin des années 1980 en cartes à puces, les cartes Vitale ne font pas de sécurité :
        * pas d'authentification mutuelle du lecteur et de la carte
        * pas de chiffrement des données de la carte
        * …
        
        [^] # Re: Mauvaise idée
        
        Posté par Sébastien Le Ray le 22 mars 2022 à 22:22. Évalué à 0.
        
        Ou alors ce que tu as lu en TP c'était juste une toute petite partie du contenu de la carte et tu ne sais pas de quoi tu parles
        
        Les données complètes d'une CV sont lisibles uniquement avec un lecteur dans lequel on met également une CPS
        
        C'est pas pour rien que l'utilisation de ce système permet de faire des feuilles de soin électroniques signées avec des données certifiées…
        
        [^] # Re: Mauvaise idée
        
        Posté par flavien75 le 23 mars 2022 à 09:44. Évalué à 4.
        
        Ou alors ce que tu as lu en TP c'était juste une toute petite partie du contenu de la carte et tu ne sais pas de quoi tu parles
        
        Ou alors c'était au début des années 2000, avec des cartes de première génération (sans photo) qui ne contenaient qu'une EEPROM.
        La partie certification n'est arrivée qu'avec la seconde génération.
        
        Fracture générationnelle, tout ça..
        
        Les vrais naviguent en -42
        
        [^] # Re: Mauvaise idée
        
        Posté par Donk le 19 mars 2022 à 18:48. Évalué à 5.
        
        De mémoire, il me semble que ça a été mis, puis supprimé, puis remis.
  - [^] # Re: Mauvaise idée
    
    Posté par Colin Pitrat (site web personnel) le 19 mars 2022 à 16:16. Évalué à 4.
    
    merci à ceux qui y croyaient
    
    Ou pas dans certains cas …
- [^] # Re: Mauvaise idée
  
  Posté par Vlobulle le 19 mars 2022 à 15:33. Évalué à 7.
  
  Je me permets de citer un commentaire qui résume mon avis :
  https://www.reddit.com/r/france/comments/sjdbl3/comment/hvenhz6/?utm_source=share&utm_medium=web2x&context=3
  
  En gros, on a principalement des vieux technophobes qui ont fait merder le DMP. L'espace santé, c'est la seconde tentative pour éviter leur blocage.
  
  Et vu l'état de la prévention en France, on a véritablement besoin de ce partage d'information entre les professionnels de la santé.
  - [^] # Re: Mauvaise idée
    
    Posté par devnewton 🍺 (site web personnel) le 21 mars 2022 à 08:16. Évalué à 4.
    
    Ce commentaire sur reddit est une tentative de campisme. Choisissez votre camp: vieux technophobe ou jeune technobéat.
    
    J'ai une autre analyse qui a l'avantage de ne mépriser personne: https://linuxfr.org/nodes/126873/comments/1883114
    
    Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
  - [^] # Re: Mauvaise idée
    
    Posté par tukutt le 21 mars 2022 à 08:28. Évalué à 1.
    
    La deuxième tentative seulement ? Au moins la 4 ou cinquième tentative. Le DMP est né en 2001…
    
    Dans les faits il existe déjà. Avec la T2A, toutes les hospitalisations sont codées. Il suffit de reprendre cette base de données pour connaitre l'état de santé de toutes les personnes passées dans un hôpital.
- [^] # Re: Mauvaise idée
  
  Posté par papap le 20 mars 2022 à 09:45. Évalué à -10.
  
  Non, mais ça ce sont des discours "complotistes, antivax, antipass, antisémites et nazis" en plus…
- [^] # Re: Mauvaise idée
  
  Posté par devnewton 🍺 (site web personnel) le 21 mars 2022 à 08:20. Évalué à 6. Dernière modification le 21 mars 2022 à 08:20.
  
  Mon espace santé a déjà un problème de security by what could go wrong:
  
  https://linuxfr.org/nodes/126873/comments/1883174
  
  Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
# Mais pour

Posté par totof2000 le 19 mars 2022 à 12:58. Évalué à 3.

L’objet de l’événement n’est pas un piratage mais une « connexion de personnes non autorisées à des comptes amelipro ». Si l’issue est la même, la cause est rassurante et semble indiquer que nos données ne sont pas en danger sur le site de l’Assurance Maladie, vraisemblablement bien sécurisé.

[ … ]

L’Assurance Maladie indique que 19 organismes médicaux ont été ciblés par les pirates. En prenant le contrôle de leurs boîtes mail (sans doute en leur demandant leurs mots de passe grâce à du phishing), ils ont pu réussir à se connecter au portail réservé aux professionnels de santé, celui sur lequel sont listés les patients (sûrement en cochant « mot de passe oublié »).

Euh … dire que le site ameli n'est pas en cause c'est faux.

Et le 2FA c'est pour qui ? N'aurait-ohn pas pu éviter ce genre de fuite avec un 2FA ?
- [^] # Re: Mais pour
  
  Posté par Nicolas Boulay (site web personnel) le 19 mars 2022 à 13:19. Évalué à 6. Dernière modification le 19 mars 2022 à 13:19.
  
  Il doit aussi être possible de limiter le nombre de patient vu par une seule personne.
  
  "La première sécurité est la liberté"
- [^] # Re: Mais pour
  
  Posté par dj_ (site web personnel) le 19 mars 2022 à 23:51. Évalué à 4.
  
  Et le 2FA c'est pour qui ? N'aurait-ohn pas pu éviter ce genre de fuite avec un 2FA ?
  
  Lors des campagnes de vaccinations, j'ai vu des témoignages de médecin qui recevaient des demande de valider du 2FA (car tentative de connexion depuis un autre pc que le leur) et certains avaient cliqué sur "ok" par accident/inattention …
- [^] # Re: Mais pour
  
  Posté par Misc (site web personnel) le 20 mars 2022 à 10:53. Évalué à 3.
  
  Et le 2FA c'est pour qui ? N'aurait-ohn pas pu éviter ce genre de fuite avec un 2FA ?
  
  ça règle pas tout. Une autre attaque peut simplement le vol de cookie de session, voir de directement commander le navigateur (par exemple https://beefproject.com/ ).
# Dark pattern

Posté par ted (site web personnel) le 19 mars 2022 à 13:03. Évalué à 3. Dernière modification le 19 mars 2022 à 13:03.

J'ai désactivé l'espace santé de mes parents sur leur demande. J'ai été déçu de l'interface de leur site qui propose uniquement un lien pour «Activer mon espace santé». Pour le désactiver, il faut évidemment cliquer sur Activer… Mention honorable également pour le code unique à rallonge contenant majuscules et minuscules, pratique quand tes parents te le dictent au téléphone.

Un LUG en Lorraine : https://enunclic-cappel.fr
- [^] # Re: Dark pattern
  
  Posté par j (site web personnel) le 19 mars 2022 à 13:48. Évalué à 8.
  
  J'ai été déçu de l'interface de leur site qui propose uniquement un lien pour «Activer mon espace santé». Pour le désactiver, il faut évidemment cliquer sur Activer
  
  En bas de la page d'accueil il y a un bouton "M'opposer à mon espace santé"
  
  Mention honorable également pour le code unique à rallonge contenant majuscules et minuscules
  
  Alpha numérique et sensible à la casse : la base en matière de mot de passe
- [^] # Re: Dark pattern
  
  Posté par Gil Cot ✔ (site web personnel, Mastodon) le 19 mars 2022 à 16:56. Évalué à 3.
  
  https://linuxfr.org/users/devnewton/liens/s-opposer-a-la-creation-de-monespacesante-atos-worldline
  
  “It is seldom that liberty of any kind is lost all at once.” ― David Hume
# À qui profite le crime ?

Posté par j (site web personnel) le 20 mars 2022 à 16:59. Évalué à 2. Dernière modification le 20 mars 2022 à 16:59.

L’Assurance Maladie indique que son service « Infopatient » a été ciblé. Les hackers ont obtenu les données d’identité (nom, prénom, date de naissance, sexe) de 510 000 personnes, leurs numéros de sécurité sociale ainsi que des données relatives aux droits (médecin traitant, attribution de la complémentaire santé solidaire ou de l’aide médicale d’Etat…). Elle promet qu’aucune information de contact (adresse, numéro de téléphone) ou bancaire n’a été obtenue. On ne sait pas encore ce qu’ils souhaitent en faire.

Le communiqué de presse indique que Les coordonnées de contact (email, adresse, téléphone) et coordonnées bancaires, ainsi que les données relatives aux éventuelles pathologies / maladies et à la consommation de soins, ne sont pas concernées

https://assurance-maladie.ameli.fr/sites/default/files/2022-03-17-Infopresse-Connexions-non-autorisees-comptes-amelipro.pdf

Donc il ne s'agit pas de cibler directement les patients.

Quel(s) peut-être le(s) but(s) de l'opération ?

Arnaque à l'assurance maladie ? Usurpation d'identité ?
# Le numérique dans les autres pays

Posté par Andre Rodier (site web personnel) le 20 mars 2022 à 18:14. Évalué à 7.

À titre de comparaison / d'information, je peux parler de ce que nous avons en Angleterre.

Les services gouvernementaux demandent le MFA (Multifactor Authentication, aka Mother Fucker Authentication) pour tous les services.

Les API sont publiées, voir l'exemple ci-dessous, et sur GitHub.

https://docs.publishing.service.gov.uk/

L'autre jour, en cherchant des infos sur GPG, je tombe sur cette page : https://docs.publishing.service.gov.uk/manual/create-a-gpg-key.html

We use GPG keys to encrypt our secrets. Documentation for using your GPG key can be found here.

Ce serait intéressant de savoir ce qu'il y a dans les autres pays ?
- [^] # Re: Le numérique dans les autres pays
  
  Posté par Joris Dedieu (site web personnel) le 22 mars 2022 à 14:00. Évalué à 2.
  
  En Estonie tout (santé, actes de propriété et d'état civil, diplômes) est dans la blockchain. Ce qui permet d'avoir un contrôle et un audit des accès infalsifiable.
  
  https://www.institutsapiens.fr/wp-content/uploads/2018/07/LE-stonie.pdf
  - [^] # Re: Le numérique dans les autres pays
    
    Posté par claudex le 22 mars 2022 à 23:09. Évalué à 6. Dernière modification le 22 mars 2022 à 23:09.
    
    Vu que c'est le gouvernement qui contrôle la blockchain, ce n'est pas plus auditable qu'une solution classique (base de données publique) fournie par le gouvernement.
    
    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.