Une fuite de données sur le portail amelipro a permis à des pirates de récupérer des informations sur 510 000 assurés. L’Assurance Maladie informera individuellement les personnes concernées.

Dans un communiqué de presse paru sur son site le 17 mars, l’Assurance Maladie indique que les données de 510 000 assurés ont été compromises. Au vu du vocabulaire utilisé, il semblerait que ce ne soit pas le site Ameli qui soit directement à l’origine de cette faille. L’Assurance Maladie indique que les adresses mail de 19 professionnels de santé ont été compromises, ce qui a permis aux hackers d’accéder à la plateforme amelipro. C’est là qu’ils ont pu récupérer des données sensibles, même si aucune coordonnée bancaire n’aurait été dérobée.

Ameli : un piratage qui n’en est pas un

Peut-on vraiment dire que le site d’Ameli a été piraté ? Nous avons contacté l’Assurance Maladie qui nous a confirmé quelques éléments déjà présents dans son communiqué de presse. L’objet de l’événement n’est pas un piratage mais une « connexion de personnes non autorisées à des comptes amelipro ». Si l’issue est la même, la cause est rassurante et semble indiquer que nos données ne sont pas en danger sur le site de l’Assurance Maladie, vraisemblablement bien sécurisé. Les hackers n’ont pas eu besoin contourner la sécurité d’Ameli, ils ont obtenu ces données grâce à des erreurs humaines.

Qu’a-t-il pu se passer ? L’Assurance Maladie indique que 19 organismes médicaux ont été ciblés par les pirates. En prenant le contrôle de leurs boîtes mail (sans doute en leur demandant leurs mots de passe grâce à du phishing), ils ont pu réussir à se connecter au portail réservé aux professionnels de santé, celui sur lequel sont listés les patients (sûrement en cochant « mot de passe oublié »). Ensuite, grâce à des robots, ils ont probablement procédé à du « crawling » et à du « scraping », soit de la collecte automatisée de données.

C’est sans doute comme ça que l’Assurance Maladie s’est rendu compte du problème : les robots ont téléchargé dans un court espace de temps un très grand nombre de pages pour copier-coller un maximum d’informations. À la fin, les hackers ont obtenu un carnet d’adresses que l’Assurance Maladie estime à 510 000 assurés.

Amelipro
Le portail Amelipro permet de s’identifier avec son adresse mail, ce qui a sans doute permis aux hackers d’obtenir ces données. // Source : Capture Numerama

Quelles données sont concernées ?

L’Assurance Maladie indique que son service « Infopatient » a été ciblé. Les hackers ont obtenu les données d’identité (nom, prénom, date de naissance, sexe) de 510 000 personnes, leurs numéros de sécurité sociale ainsi que des données relatives aux droits (médecin traitant, attribution de la complémentaire santé solidaire ou de l’aide médicale d’Etat…). Elle promet qu’aucune information de contact (adresse, numéro de téléphone) ou bancaire n’a été obtenue. On ne sait pas encore ce qu’ils souhaitent en faire.

Même si rien n’a été dit pour l’instant, on peut imaginer que les 19 organismes concernés sont de très gros établissements de santé. On ne voit pas trop comment 19 médecins indépendants pourraient, ensemble, atteindre les 510 000 assurés.

Que va-t-il se passer ?

En attendant de boucler son enquête, l’Assurance Maladie a indiqué porter plainte et bloquer les adresses IP des auteurs de l’attaque. Dans les prochains jours, elle appellera les professionnels de santé à renforcer la sécurité de leurs comptes (on espère en renforçant la double authentification) et contactera les victimes de cette opération, à qui elle indiquera ce qu’ils risquent vraiment. D’ici là, le nombre de 510 000 personnes pourrait être réévalué.