Assurance maladie : plus de 500 000 comptes piratés

19 mars 2022 à 15h30
60
carte vitale © shutterstock.com
© Shutterstock.com

Ameli a été victime d’une grosse fuite de données. Les pirates ont ciblé 19 très gros établissements de santé et ont mis la main sur des centaines de milliers de comptes.

Les hackers ont récupéré plus de 500 000 comptes de patients via le portail de l’Assurance Maladie, avec des données sensibles à la clé. 

510 000 comptes Ameli piratés

L’Assurance Maladie a été victime d’un piratage massif. Dans un communiqué de presse publié ce jeudi 17 mars sur son site officiel, l’organisme indique que les données personnelles de plus de 500 000 assurés ont été compromises. Il semblerait néanmoins que ce ne soit pas le site Ameli qui soit directement en cause. L’Assurance Maladie précise que les adresses mail de 19 professionnels de santé ont été dérobées (provenant probablement de gros centres de santé), ce qui a permis à des pirates d’accéder à la plateforme qui leur est dédiée : amelipro. À partir de là, les hackeurs ont pu dérober les données sensibles des patients.

L’Assurance Maladie a confirmé auprès de nos confrères de Numerama qu’il ne s’agissait pas tant d’un piratage mais d’une « connexion de personnes non autorisées à des comptes amelipro ». Plus concrètement les organismes médicaux concernés ont sans doute été victimes de phishing et les pirates ont pu prendre le contrôle de leurs boîtes mails pour ensuite se connecter sur le portail réservé aux professionnels de santé. Des robots se sont ensuite chargés de collecter les données de façon automatisée.

Quelles données ont été dérobées ?

Les hackers ont mis la main sur un carnet d’adresses estimé à 510 000 assurés par l’Assurance maladie. Un nombre qui pourrait malgré tout être réévalué à la hausse au fil des jours. Ont été compromis les données d’identité (nom, prénom, date de naissance, sexe) des victimes, leurs numéros de sécurité sociale et les données relatives à leurs droits, comme leur médecin traitant, l’attribution de la complémentaire santé solidaire ou de l’aide médicale d’État par exemple. L’organisme assure qu’aucune coordonnée bancaire, ni aucune information de contact comme le numéro de téléphone ou l’adresse postale n’ont été dérobées. 

Une enquête est actuellement en cours, et l’organisme indique avoir porté plainte et bloqué les adresses IP des auteurs de l’attaque. L’Assurance Maladie va contacter les victimes de l’opération dans les jours qui viennent en leur indiquant ce qu’elles risquent réellement. Elle appellera également les professionnels de santé à renforcer la sécurité de leurs comptes.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
60
32
spip74
Hier j’ai reçu un mail m’encourageant à mettre toutes mes données médicales sur le site « Mon espace santé ». Mouai… on va attendre un peu
Neustrie
Je l’ai désactivé, ça va trop loin le numérique et ce n’est pas sécurisé, encore la preuve.
bibi10
je vient de changer mes identifiant/pass
Pronimo
Je ne vois pas comment ils ont fait:<br /> Employées laxistes a ne pas utiliser de mdp complexes?<br /> Siphonage d’un token d’authentification?<br /> Click sans reflechir a un faux email interne?<br /> Enfin bref, par ailleurs, les entreprises dignes de ce noms utilisent le 2FA pour se connecter aux applications entreprises, surtout a une époque de télétravail dont on sait jamais comment le collaborateur prennent soin de son Windows!
ar-s
1 - PUNIR n’importe quel personne se faisant avoir par du phishing… En 2022 c’est juste intolérable.<br /> 2 - Crypter les put… de base de données ! C’est pas dur, on le fait pour les mots de passes, il suffit de faire pareil pour le reste. 1 clé privée dans le serveur, une clé utilisateur.<br /> Sérieux ! C’est juste scandaleux.
dFxed
Ne prenez pas la voiture ! Certaines tombent en panne, d’autres prennent feu, c’est super dangereux !<br /> Logique imparable …
dFxed
Pas sûr que cela serve dans ce cas (accès non autorisé à partir d’un identifiant valide).
nicgrover
Il semblerait que les pro (médecins etc…) ne soient pas plus futés que le quidam ordinaire et pourtant ils se vantent de 10 ans d’études…
Nerva
On n’avait pas dit qu’un système blockchain était la parade à tous les maux du piratage ? Que je suis bête ! On préfère se concentrer sur ce que ça peut rapporter en cryptomonnaies en ne faisant rien…
avandoorine
1 - On ne peut pas punir des erreurs de ce type. D’autant plus que certains phishing sont franchement loin d’être si facilement identifiable quand ils sont bien travaillé.<br /> 2 - Le cryptage ici ne servirait a rien puisque c’est bien un accès « normal » qui a été fait au travers de compte subtilisés. La vraie question ca serait de savoir pourquoi il n’y a pas une authentification forte sur un site comme AmeliPro, chose qu’il n’y a pas non plus sur la version particulier. C’est a mon avis là le scandale que l’accès à une plateforme aussi sensible ne semble reposer que sur un login/mot de passe.
Necron
Le métier d’un médecin c’est de soigner les gens, pas la sécurité informatique surtout que rien ne laisse présager dans l’article que c’est de leur faute.<br /> J’ajouterai même qu’une majorité de médecins sont assez âgés et ont dû s’adapter au nouveau usage du numérique alors que leur formation initiale n’y était pas préparé
sylvio50
Voilà la raison pour laquelle je n’accepterai pas la centralisation de mes données de santé sur le site que propose le gouvernement (irresponsable de surcroit).<br /> C’est ce même gouvernement qui nous expliquait il n’y a pas longtemps qu’il n’y avait pas de liberté sans sécurité. Et qu’il n’y avait pas de liberté sans responsabilité. Là, nos données ne sont pas ou mal sécurisées et le gouvernement est irresponsable de centraliser des données sensible non ou mal sécurisée. Ne pas mettre ses oeufs dans le même panier est la 1ère des règles de bases de sécurité lorsque des données massives sont aussi largement accessible.<br /> Nous payons le prix de la simplicité d’accès des données numériques au détriment de la sécurité permise par l’analogique.<br /> Bonjour,<br /> Vous allez bénéficier de Mon espace santé. Ce nouveau service public, numérique et sécurisé, hébergé en France, vous permet d’être acteur au quotidien de votre santé et de celle de vos proches.<br /> Dans un délai de 6 semaines à partir de la réception de cet e-mail, le service Mon espace santé sera créé automatiquement …<br />
ar-s
1 sur n’importe quel phishing, aussi propre soit il il suffit de matter les URL cibles… 10 min de formation bordel !
nicgrover
Ah bah si chez les professionnels de la santé il n’y a personne entre le clavier et le fauteuil… Il ne faut s’étonner de rien…<br /> Je fais partie de ces « assez âgés » qui a du s’adapter au tout numérique (évaluations, notations, cours, recherches sur le Net…) pour ma profession d’enseignant et je ne me suis jamais fait avoir par un phishing ou autre courrier suspect. Comme quoi…
sylvio50
Le pire, c’est que je n’arrive même pas à m’opposer à la création automatique de mon compte. Un message d’erreur apparait m’indiquant qu’il n’arrivent pas à m’identifier. Quel arnaque cette création de compte automatique.
mrassol
heu, sur un parc, si les utilisateurs sont admins de la machine, c’est clairement un probleme d’admin systeme …
Jetto
Je pense qu’une double authentification par une application sur téléphone mobile serait un minimum.<br /> Mais je pense que les attaques ciblées sont quasi imparables en dehors d’une organisation qui à les moyens d’assurer l’activité cyber.<br /> Ce qui est le plus étonnant c’est qu’ameliepro ne soit pas protège contre un siphonage de base en limitant le nombre de requêtes venant de la même Ip.
djill
Je comprends pas. Pas de 2FA? Pas de Siem? De DLP? Rien qui alerte de l’activité suspecte???<br /> Desolé mais j’ai l’impression qu’on a encore pris des raccourcis pour economiser.
MattS32
avandoorine:<br /> La vraie question ca serait de savoir pourquoi il n’y a pas une authentification forte sur un site comme AmeliPro, chose qu’il n’y a pas non plus sur la version particulier. C’est a mon avis là le scandale que l’accès à une plateforme aussi sensible ne semble reposer que sur un login/mot de passe.<br /> Un autre point critique à mon avis, c’est aussi le fait qu’une personne, aussi professionnelle de santé soit-elle, puisse accéder massivement à des données de nombreuses personnes… Clairement, il devrait y avoir des gardes-fous, aussi bien sur la quantité de données récupérables (exemple perso, j’ai bossé sur un projet où j’avais accès à l’intégralité du code source d’un OS propriétaire, mais en pratique je n’étais censé en avoir besoin que de manière limitée et ponctuelle, du coup s’il me venait à l’idée de télécharger massivement des fichiers de ce code source, c’était automatiquement bloqué, avec levée d’une alerte auprès de mon manager) que sur les personnes dont on peut avoir accès aux données (cf le fait que des professionnels de santé avaient pu récupérer et diffuser le QR du pass sanitaire de Macron…).<br /> Un professionnel de santé qui accède à plus de dix dossiers dans la même heure, ça devrait être bloqué par défaut. Avec déblocage sur approbation du responsable hiérarchique. Un professionnel de santé qui accède au dossier d’un patient résidant normalement à plus de 100 km du lieu d’exercice et n’ayant jamais fréquenté ce lieu par le passé, pareil, ça devrait être bloqué par défaut, avec déblocage sur approbation d’un collègue du même établissement (situation d’urgence, par exemple si le patient a été victime d’un accident loin de chez lui) où sur présentation de la carte Vitale du patient (par exemple, quelqu’un qui va voir un médecin pendant qu’il est en vacances).<br /> ar-s:<br /> 1 sur n’importe quel phishing, aussi propre soit il il suffit de matter les URL cibles… 10 min de formation bordel !<br /> Avec l’autorisation de tous les caractères UTF-8 dans les URL, ce n’est plus si simple… Il y a des caractères UTF-8 qui ne sont pas les caractères latins classiques mais en sont indiscernables visuellement. Par exemple, ceci n’est PAS l’adresse de Clubic (la première et la dernière lettre du « clubic » sont différentes) : сlubiс.com<br /> Pas si flagrant, non ? Certains navigateurs vont automatiquement convertir ça en l’équivalent latin pour l’affichage dans la barre d’adresse ou l’info-bulle indiquant la destination d’un lien, mais pas tous.<br /> Le seul truc fiable, c’est de vérifier à chaque fois qui est le titulaire et l’émetteur du certificat SSL (donc pas juste vérifier que le SSL est activé et signé avec un certificat valide)… Mais même ça, ça ne saute pas forcément aux yeux quand c’est un faux, surtout si on ne connait pas les informations censées être dans le certificat officiel. Par exemple, dans le cas de Clubic, l’autorité de certification utilisée vérifie juste que le demandeur est titulaire du domaine (aucune vérification de son identité/raison sociale). Si je possédais le domaine сlubiс.com, je pourrais avoir un certificat qui visuellement semble identique (visuellement même nom de domaine, même autorité de certification).<br /> Auprès d’une autorité de certification vérifiant la raison sociale, ce serait un poil plus compliqué. Mais pas impossible. Je devrais « juste » créer une société appelée Ϲlubiс SAS (encore une fois, ce n’est PAS le Clubic que tu connais, la première et la dernière lettre sont différentes) puis demander un certificat SSL au nom de cette société…<br /> Et surtout, un truc comme ça, tu auras beau former les gens, à peu près personne ne prendra la peine de vérifier. Toi, qui dit que c’est si simple, vérifies-tu systématiquement le contenu du certificat SSL de tous les sites sur lesquels tu saisis des logins/mot de passe ?<br /> Ajoute à ça que les professionnels de santé ont été particulièrement sous pression ces dernières années, ce qui mène inévitablement à une fatigue physique et intellectuelle, et ça devient inévitable que certains soient pris dans le piège. Et je n’irai pas les blâmer pour ça.
sas-seb
La faute à l’humain (les employés qui se sont laissés berner par le phishing). Le site Ameli en tant que tel est protégé selon les dires de l’article. Ce n’est pas une question de piratage mais une arnaque au phishing.
MattS32
Oui et non. Le fait de pouvoir récupérer des données en quantité très supérieure à ce qui relève de l’usage normal du service par un professionnel de santé, c’est bien un manque de sécurité du service.<br /> La sécurité d’un système doit être faite en ne se limitant pas à bloquer l’accès, mais en pensant de façon plus globale, en anticipant le cas, qui finira forcément par arriver, où un utilisateur malveillant arrivera à passer la première couche de protection.<br /> C’est comme quand tu as des biens de valeur, tu te contentes pas de fermer la porte avec une serrure. Tu mets en plus un mur avec un portail sécurisé autour de la propriété, tu met une seconde serrure sur la porte d’entrée (blindée), et les biens les plus précieux, tu les met en plus dans un coffre-fort.
ar-s
MattS32:<br /> Pas si flagrant, non ? Certains navigateurs vont automatiquement convertir ça en l’équivalent latin pour l’affichage dans la barre d’adresse ou l’info-bulle indiquant la destination d’un lien, mais pas tous.<br /> Quel navigateur n’est pas fichu d’afficher l’url d’un lien correctement ?<br /> Perso oui, je ne clique jamais sur un lien email sans vérifier la source de celui ci.<br /> Encore une fois, c’est l’histoire d’une formation de quelques minutes.<br /> Sans pour cela avoir besoin de vérification de validité SSL etc… Ce sera évidement jamais fait par les utilisateurs lambdas, mais je suis persuadé que la majorité des phishing seraient caduc si les utilisateurs apprenait juste à faire attention aux liens.
MattS32
ar-s:<br /> Quel navigateur n’est pas fichu d’afficher l’url d’un lien correctement ?<br /> Justement, certains l’affichent « trop » correctement : pour les caractères non latin, ils affichent bien le caractère non latin correspondant (ce qui est le fonctionnement « normal » en fait…), au lieu de l’encodage Punycode.<br /> À peu près tous les navigateurs sont en fait passés par une phase où ils affichaient bien les caractères non latin, avant qu’on se rende compte que ça constituait une faille de sécurité à cause des similitudes visuelles entre certains caractères, et du coup ils sont petit à petit passés à un affichage par défaut en mode Punycode (ou des solutions un peu intelligentes, par exemple Firefox affiche nativement si tous les caractères de l’URL sont issus de la même langue, et en Punycode s’il y a un mix de plusieurs langues).<br /> ar-s:<br /> Encore une fois, c’est l’histoire d’une formation de quelques minutes.<br /> Les formations disent justement souvent de copier le lien plutôt que de cliquer dessus (parce que l’URL qui apparait dans le corps du message n’est pas forcément la même que celle vers laquelle pointe réellement le lien).<br /> Et paf, avec une URL contenant un domaine IDNA, l’URL affichée dans le mail semble parfaitement légitime, et après copier-coller dans la barre d’adresse, on ne pense pas forcément à vérifier qu’elle est toujours la bonne (la conversion en Punycode se fait après validation de la saisie, pas au moment où on colle).<br /> Et vraiment, il ne faut pas sous-estimer l’impact de la fatigue physique et intellectuelle… Je ne compte plus le nombre de fois où j’ai vu des mecs qui sont limite des demi-dieux dans leur domaine faire des erreurs de débutant sous l’effet de fatigue…
LeToi
Aucune fuite de mots de passe, les professionnels de santé n’ont pas accès à vos mots de passe, donc ça ne sert pas à grand chose. Les pirates n’ont aucun moyen d’agir sur les données piratées, uniquement les lire, et vu la nature des données concernées, ils risque de ne pas en faire grand chose
Korgen
Règle n°1 : ne JAMAIS cliquer directement dans un mail, toujours aller sur le site via une nouvelle fenêtre.<br /> Quand on sait ça on ne se fait jamais avoir.
nemo2023
Alors clairement voici comment cela se passe en entreprise<br /> La tech : On va mettre une double authentification (ou une clé U2F)<br /> Les employés : Non mais là j’ai encore oublié ma clé, c’est chiant<br /> Le patron : Ok, tout le monde râle sur le système d’authentification, cela fait perdre du temps à l’entreprise. Il faut enlever ça !!!<br /> La tech : <br /> Les pirates : <br /> Voilà la seule raison… Bon sinon au niveau de la tech si un gas en 1 heure consulte plus de 50 dossiers, il faut peut-être aussi mettre un blocage. Ha, on me dit qu’ils ont essayé mais que l’employé a aussi râlé auprès du patron pour ce blocage …
juju251
ar-s:<br /> Encore une fois, c’est l’histoire d’une formation de quelques minutes.<br /> Korgen:<br /> Règle n°1 : ne JAMAIS cliquer directement dans un mail, toujours aller sur le site via une nouvelle fenêtre.<br /> Quand on sait ça on ne se fait jamais avoir.<br /> Non, c’est plus compliqué que cela.<br /> Parce que même si tu es formé et habitué, tu peux quand-même tomber dans le piège. Il suffit d’être un peu speed (genre, au hasard qui n’arrive jamais pour un médecin, une urgence médicale ?), fatigué, etc …<br /> Il faudrait arrêter de croire que l’on peut être invulnérable à ce genre de manipulations.<br /> Alors, oui, évidemment, la formation est très importante (essentielle même), mais ce n’est pas un rempart infranchissable (spoiler : En matière de cybersécurité, cela n’existe pas).
keyplus
marrant mais ça ne m étonne pas
MattS32
juju251:<br /> Il faudrait arrêter de croire que l’on peut être invulnérable à ce genre de manipulations.<br /> D’ailleurs, le croire, c’est déjà en soit une grosse faille de sécurité…
bastin55
Bonjour, Neustrie. Pour le compte sur ce que j’ai lu de l’article le problème de sécurité se situe entre la chaise et le clavier, et contre ça y a rien a faire.
MattS32
nemo2023:<br /> Les employés : Non mais là j’ai encore oublié ma clé, c’est chiant<br /> Le patron : Ok, tout le monde râle sur le système d’authentification, cela fait perdre du temps à l’entreprise. Il faut enlever ça !!!<br /> La tech :<br /> Désactiver la 2FA parce que les gens oublient parfois leur clé, c’est une faute du service IT. Même si le patron l’a demandé, faut lui expliquer et mettre en place des 2FA multiples. Et vraiment si il comprend pas ou refuse de financer, faut lui faire signer un papier où il accepte d’endosser toute responsabilité en cas de problème.<br /> Regarde chez Google par exemple. Tu as au moins 3 possibilités : le générateur TOTP (que tu peux, officieusement, installer sur plusieurs appareils), l’OTP par SMS et la liste d’OTP de secours pré-générés.<br /> Dans ma boîte, on en a encore plus. De base, on a une carte à puce PKI avec code PIN. En alternative, on a un générateur TOTP installable sur deux appareils (le PC fourni par la boîte et un smartphone), avec accès protégé par empreinte digitale ou code PIN, l’OTP par SMS et 3 contacts de secours, obligatoirement d’autres employés travaillant sur le même site, qui peuvent recevoir l’OTP à notre place et le transmettre physiquement. Et en ultime recours, on peut même aller à l’accueil du site avec une pièce d’identité et obtenir immédiatement une nouvelle carte PKI. Avec toutes ces possibilités, je pense que personne dans la boîte ne s’est jamais retrouvé vraiment bloqué…<br /> Alors bien sûr, multiplier les moyens d’obtenir un OTP pour le 2FA réduit la sécurité par rapport à un moyen unique. Mais ça reste infiniment plus sécurisé que de désactiver complètement le 2FA.
fredmc
@nicgrover Chacun son domaine… un ingénieur en informatique malgre un bon nombre d’années d’études ne fera pas un bon médecin… on peut-être un bon médecin et pas à l’aise avec l’informatique… je suis sur que plus de la moitié de la population ne sait même pas ce qu’est du phishing …
fredmc
Ils peuvent creer de fausses cartes vitales c’est déjà énorme
LeToi
Euh non, impossible de commander la création d’une carte vitale juste avec ces données. Il faut accéder à son compte personnel avec son mot de passe, ce que les pirates n’ont pas
MattS32
Non, il n’y a aucune raison de penser qu’ils aient pu accéder aux informations nécessaires pour créer de fausses cartes vitales.<br /> Avoir le numéro de sécu d’une personne ne permet pas de créer une fausse carte vitale au nom de cette personne, il y a des certificats de sécurité qui protègent le système. Sinon ça serait un peu facile, parce que le numéro de sécu est relativement facile à trouver, en particulier pour les plus de 75 ans (les registres d’état civil deviennent publics au bout de 75 ans, et le numéro de sécu se déduit directement des registres des naissances).
nicgrover
J’ai peut-être lancé la pierre un peu trop vite sur ces chers médecin (quoique…) mais il est vrai qu’ils sont équipés de secrétaire alors le problème vient peut-être de ce côté du clavier…<br /> Et dire que ces milieux ignorent tout du phishing et des virus informatiques cela me semble un peu arbitraire…
fredmc
Ils ont tout qu’il faut. Et s’ils arrivent à se faire pirater une base de données pourquoi pas un certificat ?tu me parles des registres mais on s’en fout puisqu’ils ont le nom la date de naissance et le numéro de secu
MattS32
fredmc:<br /> Ils ont tout qu’il faut<br /> Source ?<br /> fredmc:<br /> Et s’ils arrivent à se faire pirater une base de données pourquoi pas un certificat ?<br /> Alors d’abord, non, il n’y a eu aucn « piratage » de base de données. Il y a eu piratage d’identifiants d’accès à des applications utilisées par les soignants et siphonnage de données via ces accès.<br /> Ensuite, il n’y a absolument AUCUNE raison valable pour que les certificats de sécurité utilisés pour sécuriser les cartes Vitale soient accessibles aux soignants via ces applications. Et même, il n’y a AUCUNE raison valable pour que ces certificats soient stockés sur les serveurs hébergeant les données de ces applications.<br /> Pour donner une analogie, dire « s’ils ont réussi à récupérer ces données, pourquoi pas un certificat », ça revient à dire "s’ils ont réussi à piquer à un employé les clés des caisses enregistreuses d’une bijouterie Cartier, pourquoi ils auraient pas aussi les clés du coffre que le patron de Cartier a dans une banque en Suisse ?<br /> fredmc:<br /> ils ont le nom la date de naissance et le numéro de secu<br /> Tu imagines vraiment que ces informations suffisent à créer une fausse carte Vitale ? Si c’était le cas, n’importe qui pourrait déjà créer une fausse carte Vitale au nom de n’importe quelle personne de plus de 75 ans.<br /> Tu n’as visiblement pas compris ce que je voulais dire en parlant des registres d’état civils rendus publics, c’est ça : à partir du moment où une personne à plus de 75 ans, on peut considérer que son nom et son numéro de sécu sont des informations publiques…<br /> Il est donc bien évident que ces informations ne suffisent pas à créer une carte Vitale.<br /> Il faut à minima en plus de ça la clé privée du certificat de sécurité qui sert à signer les données présentes sur la carte Vitale. Sans cette clé privée, tu ne pourras pas signer les données, et les applications qui utilisent la carte vitale rejetteront la carte, puisque la vérification de la signature échouera.<br /> Et en termes de sécurité, les bonnes pratiques voudraient que cette clé privée ne soit stockée QUE sur les machines qui programment les cartes et que ces machines ne soient pas connectées au réseau. En tout cas, il n’y a vraiment aucun raison de les avoir recopiées sur les serveurs Ameli ou Ameli Pro.
ar-s
Forcément on est pas des robots et la fatigue peut entraîner des erreurs. Mais tout de même, je pense que la majorité des erreurs sont dues à de l’inattention et/ou méconnaissance/jemenfoutisme des règles de base en sécurité informatiques et non un travail de forcené.
jbobby
Si le portail de l’état permet aux professionnels de santé d’accéder aux informations confidentielles des citoyens avec juste un login password, c’est là que se trouve le problème. Quel que soit le niveau de prudence des personnes en question, si elles sont suffisamment nombreuses il est inévitable que certaines se fassent avoir par du fishing ou un troyen. Il peut même y avoir des médecins peu scrupuleux. Si ces personnes ne sont qu’une pour mille, sur 1 million de professionnel c’est déjà 1000 sources de fuites potentielles. L’Assurance Maladie doit en tenir compte et ne pas le faire est une faute. Il faut par exemple une authentification à 2 facteurs, et à mon avis il faut que le « 2ème facteur » soit détenu par l’assuré.
MattS32
jbobby:<br /> Il faut par exemple une authentification à 2 facteurs, et à mon avis il faut que le « 2ème facteur » soit détenu par l’assuré.<br /> Non, il ne faut pas que ça soit dépendant du patient. Parce que parfois il peut y avoir une urgence vitale qui nécessite d’accéder au dossier de l’assuré sans que le patient soit en mesure de donner son identifiant.<br /> Mais effectivement, il faudrait des gardes fous, avec par exemple besoin des identifiants de deux soignants ou du soignant et du patient pour accéder au dossier d’un patient qui n’a jamais fréquenté l’établissement.
Krimog
Y a-t-il des conséquences juridiques pour les personnes « victimes » du phishing? Parce qu’au bout d’un moment, quand on a un accès à autant de données personnelles, on se doit d’être irréprochable sur ce genre de choses.<br /> Et ce n’est pas comme si le phishing était une toute nouvelle pratique…
cyrano66
Punir !!<br /> Punir ces pauvres demeurés d’utilisateurs qui font vraiment que des conneries de débutant.<br /> tous les utilisateurs devraient naturellement être capable de déceler la moindre attaque.<br /> Parce que si c’est pas du phishing ça sera autre chose, Toujours plus vicieux et compliqué.<br /> Et qu’après tout un niveau ingénieur en cyber sécurité c’est quand même le minimum attendu pour lire un mail.<br /> Y’a des fois je me demande si vous vous relisez.<br /> Et de vous à moi, si tout le monde avait votre niveau certains parmi vous n’auraient plus de boulot.
Korgen
Ben non, c’est pas plus compliqué que ça. Je n’ai jamais été victime de phishing et pourtant j’en ai reçu des tonnes de tentatives en 27 ans.<br /> Effectivement le 1er point faible d’un système informatique c’est l’humain. Se retenir de cliquer dans un mail, qu’il soit officiel ou du phishing, c’est la consigne la plus simple à suivre.
Korgen
Il y a peu de recours. Dernièrement j’ai eu un ami qui s’est fait avoir par un phishing bancaire (au final plus de 2000€ volés). Normalement les assurances et la loi couvrent les fraudes, sauf que les banques argumentent qu’il ne s’agit pas de fraude mais de négligence de la part du client. Elles refusent donc catégoriquement de rembourser.
MattS32
Korgen:<br /> Ben non, c’est pas plus compliqué que ça. Je n’ai jamais été victime de phishing et pourtant j’en ai reçu des tonnes de tentatives en 27 ans.<br /> Oui. Et 5 min avant de mourir, Elvis était encore en vie. Dingue, non ? Et ton ami qui s’est fait avoir, il pouvait peut-être aussi dire 5 min plus tôt qu’il n’avait jamais été victime malgré des tonnes de tentatives en 27 ans…<br /> Déjà, faudrait faire la distinction entre phishing et phishing hein… Parce que les phishing « grand public » qui ratissent large et qu’on reçoit par dizaine toutes les semaines, c’est pas la même chose qu’un phishing ultra ciblé°. As-tu déjà été attaqué par des phishing ciblés dans le cadre de ton activité professionnelle ?<br /> Ensuite, c’est pas non plus la même chose quand on a un boulot « tranquille » à 40h par semaine/8h par jour avec trois pauses dans la journée et quand on a un boulot où on est sous forte pression, où on enchaîne parfois plus de 24h de travail sans interruption, où les 40h se font parfois en 2 jours, et ce depuis plusieurs années, avec un rythme qui s’est encore accéléré ces deux dernières années…<br /> ° je vais donner un petit exemple perso de ce que peut par exemple être un phishing ultra-ciblé : il y a quelques années, j’ai reçu sur ma boîte pro un mail qui semblait émaner du service juridique du client chez qui j’étais en prestation et qui m’indiquait qu’un robot a constaté que j’ai publié sur GitHub du code appartenant à la boîte (robot dont je sais qu’il existe bel et bien !). Suivait une liste de fichiers que j’avais effectivement publiés sur GitHub quelques jours plus tôt, mais qui n’appartenait pas à la boîte.<br /> Puis un lien pour avoir plus de détails sur l’analyse faite par le robot.<br /> Ben je peux te dire qu’avec la montée d’adrénaline que je me suis pris en recevant le mail (qui dans mon cas, en tant que prestataire indépendant, pouvait éventuellement signifier perte de mon poste sous un délai de 5 jours, poursuites judiciaires…), j’ai pas réfléchi, je me suis dit que j’avais peut-être fait une connerie et poussé accidentellement un bout de code de la boîte, et j’ai cliqué pour avoir les détails…<br /> Ce qui m’a sauvé finalement, c’est que la page sur laquelle je suis arrivé m’a demandé de me connecter au SSO de la boîte alors que je m’y étais déjà connecté 10 min avant et que les sessions durent normalement plusieurs heures. C’est là que j’ai tiqué, j’ai vérifié l’URL dans la barre d’adresse, y avait un i à la place d’un l dans le nom de domaine. Dans le mail, il était en majuscule, ça suffisait pour tromper visuellement… Il n’y a qu’une fois dans le navigateur que ça devenait un i, car il passe tout en minuscule.<br /> Si je ne m’étais pas connecté au SSO de la boîte 10 minutes plus tôt, je me serai sans doute fait avoir. Parce que le mail était beaucoup trop précis et détaillé pour éveiller les soupçons en première lecture, tout en provoquant un bon gros coup de stress qui ampute forcément le discernement. Le mail était en outre affiché dans le client mail comme étant correctement signé (et pour cause, même astuce sur le mail de l’expéditeur, i majuscule à la place de l dans le domaine, et mail signé proprement avec un certificat DKIM associé à ce faux domaine).
fredmc
Parce que tu crois que les fausses cartes vitales n’existent pas ?<br /> T’es bien naif …<br /> Et comme t’aimes bien les sources …<br /> Le Monde.fr – 12 Oct 21<br /> Des millions de fausses cartes Vitale sont-elles vraiment en circulation ?<br /> DERRIÈRE LE CHIFFRE. Nicolas Dupont-Aignan déplore dans son dernier livre l’« incroyable scandale des millions de cartes Vitale surnuméraires », mais le chiffre a largement été revu à la baisse par la CNAM.<br />
nemo2023
Certains boss ne comprennent absolument rien à la sécurité. Et c’est malheureusement le cas dans de nombreuses startups ou sociétés avec moins de 30 salariés.<br /> Soit dans l’exemple donné.<br /> Mais heureusement les sociétés un peu plus importantes avec un service informatique constitué de plus de 2 personnes peuvent mettre en place de multiples solutions de backup. Là ou l’employé lambda d’une startup n’aura jamais installé de générateur sur son 2eme téléphone et n’aura pas non plus noté le numéro de téléphone de secours pour intervenir en cas de problème.<br /> Mais c’est ce même salarié qui justifiera son retard de travail parce qu’il n’a pas pu se loguer et que donc ce n’est pas sa faute… Et le boss va l’écouter.
nemo2023
On en parle des sites qui comme question secrète pour réinitialiser ton mdp demande ta date de naissance ? Arrrggggghhhh
fredmc
Nan pire tu commandes une nouvelle vraie carte vitale tu te logges sur le compte tu changes l’adresse le mail … et quelques temps après tu déclares ta carte volée perdue ou ce que tu veux t’en as une toute neuve parfaitement légale … pour la photo meme un faussaire de pietre qualité peut arranger le probleme.
MattS32
fredmc:<br /> Parce que tu crois que les fausses cartes vitales n’existent pas ?<br /> Non. Je dis juste que les informations récupérées lors de ces accès frauduleux à Ameli Pro ne permettent pas de fabriquer de fausses cartes Vitale.<br /> fredmc:<br /> Et comme t’aimes bien les sources …<br /> Fallait lire l’article, pas t’arrêter au titre. Il ne s’agit pas de fausses cartes Vitale, mais de cartes Vitale émises par l’assurance maladie et qui sont restées actives alors qu’elles ne devrait pas l’être, par exemple parce qu’une carte perdue a été retrouvée après avoir demandé une carte de remplacement, ou parce que des gens changeant de caisse d’assurance maladie recevaient une nouvelle carte alors que leur ancienne caisse leur en avait déjà fourni une.<br /> Le cas des cartes perdues retrouvées est même explicitement cité dans l’article comme la raison principale de ces cartes surnuméraires : " Selon l’ancien directeur de la CNAM Nicolas Revel, il s’agit principalement d’« assurés qui déclarent avoir perdu leur carte Vitale, enclenchent leur renouvellement puis retrouvent la carte prétendument perdue »."<br /> « Par exemple, un assuré étudiant devenant travailleur indépendant, puis salarié, pouvait, à chaque changement de statut, recevoir une nouvelle carte Vitale, tout en conservant la précédente. »<br /> Dans tous ces cas, il ne s’agit pas de fausses cartes vitales. Ce « fausse » est juste un mauvais vocabulaire employé par un homme politique habitué aux informations vagues, si ce n’est fausse et qui ne comprend pas de quoi il parle.<br /> fredmc:<br /> Nan pire tu commandes une nouvelle vraie carte vitale tu te logges sur le compte tu changes l’adresse le mail … et quelques temps après tu déclares ta carte volée perdue ou ce que tu veux t’en as une toute neuve parfaitement légale<br /> Sauf que encore une fois, tu imagines des choses qui ne sont pas possibles avec les informations qui ont été volées cette fois.<br /> Pour se connecter au compte Ameli d’un particulier, il ne suffit pas d’avoir son nom et son numéro de sécu. Il faut aussi son mot de passe Ameli. Mot de passe qui n’a pas été volé (logique, il n’y AUCUNE raison que des professionnels de santé puissent récupérer via Ameli Pro le mot de passe Ameli d’un assuré… mot de passe qui de toute façon est sans doute stocké sur le serveur Ameli sous forme hachée et salée, donc impossible à récupérer en clair). S’il y avait un moindre risque sur les mots de passe, l’AM aurait de toute façon réinitialisé les mots de passe des assurés concernés.<br /> Ensuite, quand bien même un utilisateur aurait un mot de passe Ameli facile à deviner, ce qui permettrait à l’attaquant de se connecter à son compte Ameli, le changement d’adresse mail n’est pas aussi facile et immédiat que tu le crois. En effet, pour changer l’adresse mail associée à un compte Ameli, il faut saisir l’adresse mail actuellement associée au compte, dont le site ne donne que les deux premières lettres :<br /> 2022-03-20 21_40_15-Compte ameli - mon espace personnel - Mes informations694×41 1.12 KB<br /> Or cette adresse mail complète ne fait PAS partie des données qui ont été volées (comme précisé dans l’article, l’AM a indiqué qu’aucune information de contact n’a été volée).<br /> Bon, maintenant supposons que par chance l’attaquant ait réussi aussi à deviner l’ancienne adresse et ait pu mettre la sienne à la place. Un mail a immédiatement été envoyé à l’ancienne adresse pour prévenir l’utilisateur du changement, et surtout, lui demander de prévenir l’AM si cette demande de changement ne venait pas de lui.<br /> Enfin, pour commander une nouvelle carte Vitale, il faudrait changer l’adresse postale associée au compte. Là je vais pas essayer, parce que je n’ai pas d’autre adresse postale que la mienne, et je vais pas jouer à mettre des informations bidons, mais je doute fort que le site permette de changer l’adresse postale sans fournir de justificatif et sans vérification manuelle côté AM.<br /> Bref, c’est loin d’être aussi facile que tu le prétends.
LeToi
Je n’aurais pas dit mieux que l’autre réponse de MattS32, impossible de faire ce dont tu parles juste avec ces données dérobées…
Korgen
C’est bien ce que je disais : ne jamais cliquer à l’intérieur d’un email, quelle qu’en soit l’origine. Qu’on soit en stress, euphorique, enrhumé ou mal luné c’est la consigne la plus simple à suivre.
MattS32
nemo2023:<br /> On en parle des sites qui comme question secrète pour réinitialiser ton mdp demande ta date de naissance ? Arrrggggghhhh<br /> Perso je ne donne JAMAIS une réponse personnelle sur les questions secrètes. Pour les trucs les moins sensibles, j’utilise les données d’un personnage de fiction ou d’un personnage historique. Quand c’est plus sensible, celles d’un proche. Et je me note quelque part la liste des personnes utilisées.<br /> Par exemple, sur mon ancien PC, j’avais utilisé Astérix pour les questions de Windows 10 :<br /> premier animal de compagnie : Idéfix (il faut parfois faire quelques approximations pour coller aux questions)<br /> ville de naissance : Paris (siège de Pilote, et j’aurais pris 29/10/1959 s’il demandait une date, date du premier numéro de Pilote)<br /> surnom lorsque vous étiez enfant : Astérix (pas besoin de s’emmerder ^^)<br /> ville ou vos parents se sont rencontrés : Bruxelles (ville où se sont rencontrés Uderzo et Goscinny)<br /> prénom de votre cousin le plus âgé : Oumpah-Pah (premier personnage sur lequel Uderzo et Goscinny ont travaillé ensemble)<br /> première école à laquelle vous êtes allé : Franco-belge (puisque la série Astérix fait partie de l’école franco-belge de la BD )<br /> Pour mon PC pro, j’utilise les données d’un de mes cousins.<br /> Ça nécessite parfois un peu d’imagination quand les questions portent sur des éléments qui n’existent pas directement dans l’histoire du personnage (par exemple les questions sur les parents, c’est relativement facile pour les proches ou les personnages historiques, moins pour ceux de fiction… du coup pour la fiction je privilégie les personnages de BD, qui ont souvent deux auteurs qui feront office de parents).
juju251
MattS32:<br /> Perso je ne donne JAMAIS une réponse personnelle sur les questions secrètes.<br /> +1<br /> Personnellement, je colle un truc type mot de passe complexe ou encore phrase de passe.<br /> Et comment je m’en souviens ? Keepass.
fredmc
Nan mais les gars vous oubliez que les geeks ne représentent qu’une infime parie de la population… parle voir de keepass a des gens dans la rue tu verras leur tete …
juju251
Il y a UN mot qui a du t’échapper dans ma phrase :<br /> juju251:<br /> Personnellement<br /> Je n’ai jamais dis que tout le monde devait le faire.<br /> Keepass est un outil que j’utilise, je n’ai JAMAIS prétendu que tout le monde connaissait non plus.<br /> Edit : Cela devient lassant cette déformation des propos pour tourner en ridicule l’auteur d’un message.<br /> J’ai juste exposé une méthode personnelle, il aurait fallu que j’indique : « Attention, ceci n’est qu’une méthode personnelle exposée à des fins d’informations et non une recommandation adressée au monde entier » ?
Fodger
« …et bloqué les adresses IP des auteurs de l’attaque » kikoo lol ça ne sert à rien comme si les gars s’étaient connectés directement depuis leur FAI.<br /> On en revient à l’essentiel comme maintes fois: le problème est entre l’écran et le clavier.
max_971
J’invite les pirates à faire beaucoup de remboursements aux patients.<br /> Merci d’avance. (je blague, bien sûr)
leulapin
La blockchain étant une trace publique répliquée de transactions il me semble étrange de vouloir confier à cette technologie le secret médical… votre commentaire gagnerait à être détaillé sur son approche technique
Krimog
Je suis parle justement de la responsabilité des personnes qui ont, involontairement (au moins on l’espère) donné aux hackers accès à toutes ces données.<br /> Car oui, c’est une négligence de la part de ces personnes. Et c’est une faute qui coûte cher à beaucoup de personnes. Même si ce sont les victimes des hackers, elles sont en partie responsables de ce qu’il s’est passé.
cyrano66
Le concept de victime responsable ?<br /> C’est particulier quand même non ?<br /> « T’avais qu’à pas mettre de fenêtre à ta baraque tu te serais pas fait cambrioler.<br /> T’avais qu’à mettre un cadenas a ton stiring tu te serais pas fait violer.<br /> T’avais qu’à anticiper que le mec allait griller le feu rouge tu te serais pas fais rentrer dedans »<br /> Par définition pour être victime il faut subir un fait extérieur contre lequel on n’a aucun moyen de se protéger.<br /> Soit par les circonstances ou un manque de moyens matériels, financiers ou manque de formation, d’information, manque de compétences physiques ou intellectuelles, etc.<br /> Les personnes malveillantes sont extrêmement douées pour obtenir ce qu’elles veulent.<br /> A chacun de se protéger à la hauteur de ses moyens et compétences, mais c’est Impossible de se prémunir de tout.<br /> Les états puissants et armés n’y arrivent même pas, alors un pauvre papy de 80 ans encore moins.<br /> il ne faut pas désigner les victimes comme a priori responsable de ce qui leur arrive.<br /> Surtout quand parfois elles ignoraient même l’existence de certains types de malveillance.<br /> Ça ne sert à rien de culpabiliser encore plus les victimes.<br /> Elles le font déjà très bien par elles mêmes.
Krimog
Oui, en cas de négligence, ta responsabilité doit être engagée.<br /> Si tu laisses ta porte grande ouverte et que tu as pas d’alarme chez toi, t’es quand même un peu responsable si tu te fais cambrioler.<br /> Si tu mets pas ta ceinture et que tu as un accident, t’es quand même un peu responsable de tes blessures.<br /> Mais là, c’est doublement pire vu que<br /> on ne parle pas de ses données, mais des nôtres.<br /> on n’a pas le choix de donner ou non l’accès à nos données à ces personnes.<br /> Alors ton « pauvre papy de 80 ans » (ou quelles qu’aient été les « victimes »), soit tu le formes contre le phishing (et tu lui organises régulièrement des séances de rappel), soit tu ne lui donnes pas accès à nos données.<br /> Qu’un mec espère gagner de l’argent en aidant un prince nigérien, c’est une chose. Confier à ce même mec des accès à énormément de données confidentielles, c’en est une autre.<br /> Un médecin qui viole le secret médical (même involontairement) s’expose à des poursuite. Dans mon travail, je manipule des données confidentielles. Si ces données leakent par ma faute, je m’expose à des poursuites.
cyrano66
C’est flou et vague tout ça.<br /> La négligence est un concept légal défini en droit<br /> Tout comme victime et responsabilité .<br /> La négligence peut engager la responsabilité de l’auteur en fonction de là prévisibilité de l’acte.<br /> (En France en tout cas c’est comme ca)<br /> une victime négligente ça marche pas en droit.<br /> A moins d’envisager de se faire procès à soi même on peut pas être victime de SA négligence.<br /> Dans le langage courant ça passe peut-être mais en droit non.<br /> Ensuite, En l’espèce sur quels critères établirent la négligence sur une attaque ?<br /> Sa redondance ? Sa simplicité ? La formation intitale de l’utilisateur ? Son métier ?<br /> À priori à peu près n’importe qui est capable de se méfier d’un mail bidon bourré de faute d’orthographe.<br /> Si je reprend l’expérience d’attaque ciblée de @MattS32 citée plus haut c’est certainement pas par des formations à répétition que le populus vulgaris va déceler le piège.<br /> Chacun son boulot.<br /> Si tout le monde était à ce niveau certains d’entre nous se retrouveraient vite au chômage.<br /> Et ce que moi et d’autres essayons de t’expliquer c’est que le monde est compliqué et pleins de nuances. il suffit pas de dire y’a qu’à faut qu’on pour que tout roule.
Nerva
Avec un peu de retard…<br /> Je ne suis pas un spécialiste, mais on nous a dit que le blockchain était une technologie infalsifiable, impiratable, etc, que ça révolutionnait la sécurité informatique. Alors, qu’attend t’on pour l’intégrer ?
leulapin
La blockchain ne sert pas à faire du contrôle d’intrusion, uniquement à garder trace de transactions passées.<br /> Il y a plusieurs choses qu’on appelle piratage, ici le but est de limiter l’intrusion dans des systèmes d’information, ce n’est pas le domaine d’application de la blockchain.
Voir tous les messages sur le forum

Lectures liées

Découvrez Proton, la toute nouvelle identité visuelle de ProtonMail
Opera VPN Pro est désormais disponible sur Windows et macOS
Zoom sur Fronton, le botnet russe qui multiplie les fake news sur les réseaux
YouTube retire 70 000 vidéos de désinformation pour contrecarrer la propagande russe sur la guerre en Ukraine
Face au malware XorDdos, Microsoft recommande son navigateur Edge aux utilisateurs de Linux
Ce bug dans PayPal permet à un hacker de manipuler les transactions
Attention, ce malware se cache dans un ficher Word vérolé, lui-même caché dans un PDF
Les Anonymous déclarent la cyberguerre à Killnet, un groupe de hackers pro-russes
Offrez-vous le meilleur VPN pour gagner en cybersécurité à prix cassé
Méfiez-vous de cette arnaque : un faux site DHL peut récupérer vos identifiants bancaires
Haut de page