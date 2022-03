Assurance maladie : les données de plus de 500 000 Français dérobées

mars 2022 par Chris Dickens, Ingénieur Commercial chez HackerOne

Dans un communiqué de presse , l’Assurance Maladie a déclaré avoir « détecté que des personnes non autorisées ont réussi à se connecter à des comptes amelipro, réservés aux professionnels de santé ».

D’après les premières analyses, les attaquants ont pu se connecter à 19 comptes de professionnels de santé dont les adresses e-mail avaient été compromises. Via des connexions automatisées à un service dénommé « Infopatient », le ou les cybercriminels ont eu accès aux informations administratives d’assurés suivantes : données d’identité (nom, prénom, date de naissance, sexe), numéro de sécurité sociale, ainsi que des données relatives aux droits (déclaration d’un médecin traitant, attribution de la complémentaire santé solidaire ou de l’aide médicale d’État, éventuelle prise en charge à 100 %).

Suite à cette attaque, la réaction de Chris Dickens, Ingénieur Commercial chez HackerOne.

HackerOne est le spécialiste de la sécurité collaborative, travaillant avec une communauté de hackers éthiques pour sécuriser les systèmes d’information des organisations.

« Malheureusement, même dans un monde où nous changeons régulièrement nos mots de passe, où nous créons de longues chaînes de codes ultra-sécurisés, où nous utilisons des outils tels que les gestionnaires de mots de passe et l’authentification multifactorielle, il y a toujours une faille, et c’est ce que démontre cet incident. Les mots de passe volés servent de clés pour déverrouiller des trésors d’informations. Une fois ces informations divulguées, la question est de savoir où elles vont et qui sera impacté par cette violation de données.

Cette situation est particulièrement fréquente dans le secteur de la santé, où les informations d’identification des systèmes des patients doivent être distribuées aux professionnels des hôpitaux, des pharmacies, des cabinets de conseil, des universités, etc. Cette exigence d’accès très répandue, associée à des normes contradictoires en matière de gestion des mots de passe et à des systèmes informatiques vétustes, offre aux pirates informatiques l’occasion d’identifier une faille.

Peu de temps après la violation, on peut également s’attendre à voir ces informations apparaître sur le Dark Web pour y être vendues, de sorte que d’autres acteurs malveillants sont susceptibles de les acheter et de les exploiter de la même manière.

Il est difficile de savoir jusqu’où une violation de données peut mener les cybercriminels. C’est pour cette raison que les organisations doivent mettre en œuvre des méthodes de test manuel continu de ces systèmes afin d’être informées de ces types de brèches aussi rapidement que possible et de s’assurer que des attaques similaires sur d’autres systèmes ne compromettront pas la sécurité de leurs propres logiciels. »