Le numéro de sécurité sociale de plus de 33 millions de personnes compromis après un piratage
La Commission nationale de l’informatique et des libertés (CNIL) donne l’alerte sur une fuite massive de données personnelles en France. À la suite du piratage de Viamedis et Almerys, deux opérateurs assurant la gestion du tiers payant pour de nombreuses complémentaires, les informations de plus de 33 millions de personnes ont été compromises.
« Les données concernées sont, pour les assurés et leur famille, l’état civil, la date de naissance et le numéro de sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit », indique la CNIL. Les autres données, comme les numéros de téléphone, les dossiers médicaux ou les identifiants bancaires, « ne seraient pas concernés » — notez l’usage du conditionnel par l’autorité administrative.
Chacune des complémentaires santé faisant appel à Viamedis et Almerys va maintenant devoir informer individuellement et directement tous ses clients concernés. On ne sait pas si ces millions d’infos se revendent déjà sous le manteau, mais la CNIL parle bien d’une « fuite de données » et appelle à la plus grande vigilance.
Il faudra redoubler de vigilance vis-à-vis des messages ou des coups de téléphone concernant des remboursements de frais de santé ou autre, des données sensibles comme le numéro de sécurité sociale ou la date de naissance pouvant être dans les mains d’escrocs. Les données de contact ne sont a priori pas concernés par la fuite chez Viamedis et Almerys, mais les crapules peuvent faire en sorte de recouper les infos avec d’autres bases de données compromises.
La cyberattaque des deux opérateurs a été réalisée en usurpant les identifiants et mots de passe de professionnels de santé. Viamedis avait communiqué le premier sur l’incident le 1er février, en faisant savoir qu’il avait déconnecté sa plateforme de gestion en réponse à l’intrusion, une action qui n’entrave pas le bon fonctionnement du tiers payant pour les assurés.
On a expérimenté l’appli carte Vitale, et ça n’a pas été une promenade de santé
@zoubi2
J’ai qu’une chose à dire, fait mieux Povtocard… 😘😀
@frascorpion
> Ce serait mieux de faire une carte en biométrique.
Cela ne changera rien, c'est la le mécanisme d'identification qui est en cause ici, c'est les failles dans la protection des données sensibles accessibles *après* ce mécanisme d'identification.
Une carte biométrique nécessite qu'une base de données biométriques puissent permettre de vérifier sa validité, et cette base, elle, contient des données sensibles. Si elle n'est pas correctement protégé, comme ici où un simple usurpation d'identité de quelques personnels de santé permet d'accès à des millions de dossiers sans autre forme de protection (ici, le volume de requète aurait dû lever un mécanisme de protection, aucun individu n'ayant besoin d'accèder à 33 millions de dossiers dans un temps court !), que le mécanisme de validation pour y accéder soit biométrique ne change rien, puisque que l'intru a déjà l'accès à la base de données sensibles derrières...
@frascorpion
" Ce serait mieux de faire une carte en biométrique."
que c'est débile et foncièrement la même chose.
la biométrie ne protège pas du PIRATAGE
La biométrie permet de d'avantage lier la carte à votre identité : c'est un outil pour rendre compliqué et difficile de faire de la fraude en créant de fausses cartes et de faciliter votre identification de manière autant que possible garantie. c'est un outil d'identification, pas d'authentification ou de protection.
Mais ça ne protège PAS du piratage de vos données :
tel faceid, et autre windows hello, vos informations "biométriques" (iris, voix, empreinte des doigts) sont converties en une forme numérique: une suite de chiffre
cette information numérisées, elle doit être stockées quelque part pour comparaison, validation, etc.
dans le cas de Faceid: tout se fait en local et l'empreinte numérique est chiffrée (votre code principal) et dans une partie du processeur dite "protégée" (les apps normales n'y ont pas accès).
ça évite, normalement, que cette empreinte numérique fuite.
revenons à nos cartes "biométriques" supertropcool (passeport, carte d'identité etc)
il faudra bien à un moment où un autre qu'un opérateur/prestataire créé les dites cartes. Les données sous une forme numérique vont être transférés entre organisations.
L'état et la police ont besoin de maintenir une base de donnée des empreintes numériques (par exemple quand un prévenu est mis en garde à vue, pour éventuellement le comparer à l'avenir)
la carte stocke d'une manière sécurisée ces données, mais peut être que par un défaut de conception ou par nécessité, il est aisé de récupérer l'empreinte numérique
et un piratage géant d'un opérateur privé mandaté par l'état et/ou préfecture ou autre, pourrait exposer à tout le monde les empreintes numériques accumulées
bref: une fois la version numérique de vos indicateurs biométriques piratés et fuités, que reste-t'-il à faire ? pas grand chose... vous n'allez pas changer votre iris, ou vous greffer de la peau sur vos doigts...
On peut donc pirater ces données pour connaître les individus (même si c'est anonymisé, on aura pas votre nom etc.), du moins savoir leur existence et tenter de les lier à quelque chose d'autre
mon point est:
- la biométrie n'est PAS une solution à la fuite de données (au contraire: c'est UNE donnée de PLUS à se faire voler et fuiter)
- la biométrie n'est pas une solution de sécurité (exemple naïf: si votre voix est le mot de passe, il suffit de reproduire votre voix, ou du moins la forme numérisée tel que l'attend le système. vous ne pouvez pas changer votre voix, contrairement à un mot de passe textuel)
- la biométrie est un outil pour complexifier la falsification de documents d'identifications (le passeport) et pour lier une activité à un individu : c'est ce qui motive les États. que votre passeport ça soit aisé de dire "oui, c'est BIEN le votre" et que si on a l'a vu passé c'est qu'on SAIT que c'est _vous_
- une fois un indicateur biométrique quelconque sous forme numérique pour traitement informatisé (une machine) , ben comme toute donnée, tout fichier, c'est piratable ,c'est fuitable, ça peut être mal géré par un opérateur/intervenant/prestataire, voir par vous même.
le fuiter peut permettre à un malandrin de tenter de la fraude à l'identité. Notons qu'on travaille à ce que ça soit toujours + compliqué et tordu à exploiter.
conclusion: j'en pense que ça change RIEN à la problématique ICI, présentée dans CET article là.
j'ajoute
le RGPD et une foule de réglementations et de certifications ont pour but d'imposer que les intervenants fassent pas n'importe quoi des données personnelles des gens (les infos biométriques), que leur stockage soit limité ou super protégé (chiffré, accès limité à explicitement qui en a que besoin pour un temps limité, tracé, suivi, etc)
ok
mais le numéro de sécu est DÉJÀ UNE DONNÉE PERSONNELLE protégée par un gazillion de lois et de contraintes de bonne gouvernance de traitement de l'information, voir loi européenne et le RGPD, les normes ISO, SOC, et j'en passe.
et surtout tout est contournable facilement de par l'esprit des textes
exemple: "les données personnelles des citoyens ne doivent être autorisées en accès QUE à des personnes mandatés explicitement dans le cadre de leur mission"
ok; qui en a besoin donc ?
- le ministère (tout le ministère)
- le ministre
- les employés dument identifiés des éventuels prestataires (le prestataire a mis tout le monde, ainsi que ses propres prestataires)
- la police (tout le commis..bon ok, le service dédié pôle numérique de 169 policiers formés sécurité cyber et leurs prestataires de délégation de services..)
- la préfecture, la collectivité locale et mémé georgette parce que c'est pratique et qu'il faut que ça avance, bordel !
vous pouvez aisément avoir 26027 personnes qui se partagent joyeusement des données
ha mais c'est _sécurisé_, _tracé_ et _suivi_
sauf que quand une des 26027 personnes a fauté ou s'est faite tromper par des malandrins ultra professionnalisés, ben ça vous fait une belle jambe.
-
j'essaie de faire comprendre que le problème n'est pas tant que cela les outils, mais notre lubie à TOUS de vouloir simplifier et partager et privatiser et déléguer des choses hyper-sensibles qui devraient être limités à très peu de gens et être SUPER CONTRAIGNANTS CHIANTS ET LENT !! LENT TERRIBLEMENT LENT !
@oomu
Blablabla mets de la crème 🥱🥱🥱
" Blablabla mets de la crème 🥱🥱🥱"
JAMAIS !
IL EST HORS de question d'être un tant soit peu concis (yurk!), court (BOUERKL) et écrémé (*vomis*) !
Ceci je peux vous l'affirmer d'un message prompt qui hurlera au regard de l’infâme censeur de la simplification normative des propos complexes : c'est absolument, quoique que pas du tout jamais, refusé d'être concis.
Il n'y aura jamais de douceur ni de considération et encore moins d'amour.
@oomu
Waouh Le détracteur !
Faut vous soigner en hôpital psychiatrique 🤡😂😂😂
@oomu
👍
@frascorpion
C’est toi la plaie.
@MSpock
C’est toi le paria 🤡
@frascorpion
Oh j’ai vexé le troll, zut alors 🤗
@MSpock
Oh j’ai vexé le détracteur, chouette alors 😀
Aucun mécanisme de quota d'accès aux dossiers, donc. Qu'un compte d'un personnel de santé demande d'accéder à des millions de dossiers dans un court temps ne lève aucune alerte !?
@byte_order
Pourquoi faire ?
C’est du public. Pourquoi investir ? Quelle conséquences pour eux ? Rien…
@Krysten2001
> Pourquoi faire ?
Pour bloquer le vol *massif*.
> C’est du public.
Ben non : là le vol s'est fait via une plateforme opérée par une entreprise *privée*.
> Pourquoi investir ? Quelle conséquences pour eux ? Rien…
Je partage aussi ces questions, mais dans le contexte d'une entreprise privée, vu que c'est ici le cas.
si le public échoue, mais que j'ai réélu le politicien responsable du sujet, il n'y a aucune raison d'améliorer le public
si le privé échoue mais que la direction et investisseurs augmentent leurs bénéfices et se paient de meilleurs salaires/dividendes, il n'y a aucune raison d'améliorer le privé.
boh, si c'est un compte autorisé par le process, pourquoi lui refuser ? hmm ?
@oomu
C'est un compte d'un humain.
Y'a aucune raison qu'un humain puisse et souhaite accéder à 33 millions de dossiers distincts en un temps court.
Donc, pourquoi refuser : parce que toute demande aussi fréquente d'accès par un humain est forcément louche, ou du moins doit attirer l'attention pour en vérifier la nécessité. Et si c'est vraiment un humain à l'origine.
L'accès oui/non ne doit pas être la seule protection d'accès à des données sensibles.
probablement un process qui n'a pas un tel garde fou
ou qu'on a pas investi dans un contrôle permettant de surveiller cela.
maintenant que j'y pense, une telle fonctionnalité dans Salesforce c'est payant (et c'est po donné!)
Le problème se situe moins sur une problématique immédiate de prestations frauduleuses que la capacité d’utiliser le numéro NIR couplé à nos données personnelles pour constituer une fausse identité. Rappelons que le NIR est l’identifiant de connexion auprès de la Sécurité sociale, le tout exploitable via France Connect. D’ailleurs, France Connect a bien réagi, l’identification via l’assurance maladie est déconnectée.
Cette faille va avoir de profondes conséquences tant le NIR est immuable pour une personne (sauf changement de sexe).
Je viens de tester, et une connexion France Connect via mon compte ameli a bien fonctionné …
Ma boîte m’a envoyé un mail « vous inquiétez pas, seules les infos suivantes ont fuité: nom, prénom, numéro de sécu… »
Ça fait peur cette désinvolture. Et on est une boîte d’info en plus !
"La cyberattaque des deux opérateurs a été réalisée en usurpant les identifiants et mots de passe de professionnels de santé. "
Mais comment est ce possible qu'un seul ou même un tout petit groupe d'information puisse avoir accès à autant de données !
Je suis victime de ce piratage (via Malakoff-Humanis) -> https://www.malakoffhumanis.com/infos/securite-viamedis/
"Les données personnelles exposées sont limitées ...
Nom, prénom, date de naissance, numéro de Sécurité sociale (NIR), nom de l’assureur, garanties du contrat et numéro adhérent."
Ha c'est pas des données personnelles ça la date de naissance et ton numéro de sécu !!! Ils prennent vraiment le truc à la légère je trouve.
Je bosse dans une grande entreprise qui utilise un sous-traitant pour stocker les données des salariés. Ben un jour, tu reçois un mail interne qui te fait la liste des des données personnelles qui ont été siphonnées et qui te demande gentiment de rester discret sur l’événement.
mais mais.. Le RGPD et le Code de conduite cloud de l'Union européenne (https://eucoc.cloud/en/about/about-eu-cloud-coc/) ??!!
non, je ne peux pas croire que des humains n'aient pas respectés leurs engagements, c'est impossible, noooooon !
petit paragraphe issu des recommandations de l'ANSII concernant : "Recommandations sur la sécurisation des systèmes de contrôle d’accès physique et de vidéoprotection"
qui parle de l'usage de la biométrie:
"La biométrie est assimilable à une méthode d’identification, car les éléments biométriques ne sont
ni secrets, ni révocables. Elle pourrait donc se substituer au badge en tant que moyen d’identification, mais en aucun cas comme moyen d’authentification. Elle peut toutefois être utilisée en
association avec un badge, pour authentifier le porteur. Le badge stocke alors les éléments bio-
métriques permettant la comparaison, et en assure l’intégrité. Ce compromis reste d’une sécurité
inférieure au mot de passe qui peut être gardé secret et qui, surtout, est révocable."
https://cyber.gouv.fr/sites/default/files/document/anssi-guide-recommandations_securisation_systemes_controle_acces_physique_et_videoprotection-v2.0.pdf
@oomu
"ni secrets, ni révocables"
Ces deux points sont tellement importants et tellement ignorés. Révocable a une importance toute particulière.
Si l’empreinte digitale de mon 👆 est compromise, on peut la révoquer/interdire dans le système et la remplacer par celle de mon🖕(c’était tentant, n’est-ce pas ?), bon certes à un moment il faudra passer à la lecture des 🦶 ✋👂 👁️ puis des réseaux sanguins sous-cutanés, et ça, ça fait investir dans bien des matériels et développements…
@DG33
"Si l’empreinte digitale de mon 👆 est compromise, on peut la révoquer/interdire dans le système et la remplacer par celle de mon🖕"
Et dans le cas de FaceID on peut sans autre passer à FessesID. 🍑
@fte
Dans l’intimité, pourquoi pas, mais en public c’est un FalseID
@fte
Attention à déFèqueID 💩
Pour ceux que ça intéresse, voici la liste des mutuelles pour Viamedis :
https://www.mutuellefr.info/liste-des-mutuelles-avec-le-tiers-payant-viamedis-c831-p1.html
Et celle pour Almerys :
https://www.mutuellefr.info/liste-des-mutuelles-avec-le-tiers-payant-almerys-c832-p1.html
@Mobyduck
D’après ces deux listes, ma mutuelle est épargnée par cette fuite.lncroyable !!
@Mobyduck
Gloups…
Mutuelles des banques BNP, SG, AXA, HSBC, banque postale, de la Police etc…
Ça fait mal.
@Mobyduck
Ma mutuelle m’a prévenu qu’elle était touchée car utilisant Almerys comme prestataire, mais je ne l’ai pas vue dans la liste, donc il est probable qu’il en manque
@Mobyduck
Merci !
@Mobyduck
Merci beaucoup pour ces liens.
Quelle bande de trous du cul…
Quand tu vois toutes les institutions, à commencer par l’État, qui se sert du numéro de sécu comme identifiant ou clé primaire, au lieu de créer le sien, on en arrive là 🤦🏼♂️
Victime d’appels FaceTime groupés avec une 10aine de numéros visés, totalement inconnus.
Des idées?
Et certains ici qui attendent impatiemment le tout numérique pour les papiers d’identités et compagnie. 🙄
Autre mode d'arnaque depuis quelques jours, les 6 premiers numéros de l'appelant... sont les miens ! comme d'habitude, c'est un centre d'appels.
Ah la société dysptopique qui est en train de se créer... Entre l'IA, les failles de sécurité, l'erreur humaine, tout deviendra ingérable dans le sens qu'on aura quasi aucune garantie de savoir si l'identité est réelle ou usurpée. Retour à l'humain et à la connaissance personnelle?
Commentaire le plus éclairant et lucide , je valide à 1000 % 👏🏼👏🏼
Pour info, le nom de l’opérateur de tiers payant qui bosse avec votre mutuelle est inscrit sur votre attestation papier.
Pour les ACM c’est SP santé par exemple !
Merci pour l'info, et à Mobyduck pour les listes. J'ai vérifié pour Harmonie Mutuelle, c'est Oxantis qui s'occupe du tiers payant. Leur site est en maintenance désormais, ça pourrait être lié... Si ça se trouve ils sous traitent aux deux sociétés piratées.
Sur le site Internet d’Almerys :
« almerys développe des services différenciants
dans une position de neutralité et d’intégrité absolue
au service de la protection du patrimoine des données de ses clients.”
Protection des données ?
Vraiment ?????
Le doute n’est plus permis maintenant.
Pour SUBIR leur délire DMP , INS , SEGUR etc ... 2 fois par semaine ( je bosse un peu pendant ma retraite ) , je peux vous dire que les Médecins qui utilisent ça ben j'en connais pas , c'est lent , hyperbuggé , un logiciel métier sur 2 ne sait pas que la seine et oise a été morcelé vers 1964 au pif et que plein de communes sont passées du 78 au 95 , SAUF que l'INS des personnes nées avant 1964 dans l'actuel val d'oise ont 78 et NON 95 , INS impossible à valider et ce n'est qu'un exemple ...
Les résultats de labo pdf avec un CODE !!! patient , inutilisables et la plupart des patients ne savent pas virer le code !!!
Tout est comme ça .... Ca me faire rire maintenant ça glisse ... Je ne crois plus en rien de ce qui émane du gvt ou d'ailleurs . Désabusé, alors que durant mes années de travail je pétais des colères !!!
Donc "normal" cette fuite , même attendue et inévitable je dirais lol
Comme à chaque vol de données je reste stupéfait de la facilité avec laquelle elles ont dérobées (donc le manque de sérieux dans la protection des données).
- D'une part comme le disait byte_order "ici, le volume de requête aurait dû lever un mécanisme de protection, aucun individu n'ayant besoin d'accéder à 33 millions de dossiers dans un temps court !)
- D'autre part pour des données sensibles, un audit de sécurité externe devrait être obligatoire dans le cas où des données sensibles sont utilisées (où je travaille c'est obligatoire pour les nouveaux projets traitant de données sensibles ce qui me semble du bon sens).
Enfin il devrait être obligatoire de respecter un socle minimal de normes.
Un concurrent de Doctolib affiche que son prestataire respecte les normes suivantes :
ISO 27001, ISO 20000, ISO 27017 et ISO 27018
Je ne sais pas si c'est suffisant (certaines normes sont laxistes).
Si des spécialistes pouvaient m'éclairer, les en remercie par avance.
Je ne note à sujet que suite à de multiples piratages d'hôpitaux, depuis que l'état a demandé des audits de sécurité, je n'ai plus entendu parler de piratages d'hôpitaux.
Par ailleurs je crains que les effets de bord ne soient pas envisagés dans leur globalité.
Cet article sur Next
https://next.ink/127076/prestataires-du-tiers-payant-pirates-la-moitie-des-francais-concernes-la-cnil-ouvre-une-enquete/
Indique que des pirates peuvent se créer de faux comptes améli (si celui-ci n'existe pas) et se connecter à France travail, et d'autres entités (visiblement la création de faux comptes améliorer reste possible et toutes les informations nécessaires figurent dans la fuite).
J'ai bien noté que France Connect avait coupé la possibilité de se créer un compte FranceConnect mais je pense que tout n'a pas été envisagé.
En effet je pense qu'avec le numéro de sécurité sociale n'importe qui peut écrire à la mairie de la commune de naissance, demander un extrait d'état civil (puisque le numéro de sécurité sociale comprend la date et la commune de naissance) et aller se faire faire de vrais faux papiers (une connaissance à été victime de ce stratagème). Peut-être que le processus de fabrication des nouvelles cartes d'identité évite ce problème (il y a prise d'empreinte mais sont-elles comparées avec celles de la carte ancien modèle avant délivrance, j'en doute, mais peut-être des intervenants ont-ils des précisions sur ce point très stressant).
Je pense que tant que les sanctions financières resteront légères (on verra quelle sanction infligera la CNIL) et les dirigeants jamais inquiétés (même avec uniquement des sanctions financières) alors cette légèreté risque de durer...
Pour terminer, je ne comprends pas non plus comment la double authentification ne devient pas la norme pour plus de systèmes d'information.
@Oberon
> Un concurrent de Doctolib affiche que son prestataire respecte les normes suivantes :
> ISO 27001, ISO 20000, ISO 27017 et ISO 27018
> Je ne sais pas si c'est suffisant (certaines normes sont laxistes).
Malheureusement, cela signifie plutôt que son prestataire est *certifié* à ces normes, une certification qui implique un audit régulier, mais un audit qui se fait sur ce que veut bien exposer par l'entreprise auditée, ce n'est pas comme si l'organisme de certification, lui aussi entreprise privée (et on voit rapidement le risque de collusion avec l'intérêt de son client et le sien), avait le pouvoir ni souvent la volonté d'aller fouiller par lui même dans les activités réelles de l'entreprise à certifier pour vérifier qu'elle applique réellement la norme partout.
Disons qu'être certifié dans ces normes vous donne les armes et la formation pour savoir faire correctement les choses. Cela ne signifie pas que vous le faites vraiment, soit volontairement soit involontairement (l'erreur restante toujours une caractéristique de toute activité humaine...).
En terme de sécurité, y'a mieux que ces normes, comme un véritable audit non pas du prestataire mais d'une solution spécifique. Sous la supervision de l'ANSSI, par exemple.
J'ignore si c'est le cas pour ces 2 prestataires.
Pages