Halte à la précipitation ! Les identifiants de 1 million de comptes de ameli.fr, le site de l'Assurance Maladie, seraient à vendre. Cette information, repérée par le site Zataz (qui vend un service de veille sur les fuites de données) a été reprise telle quelle par plusieurs médias, notamment dans la presse spécialisée ou encore par TF1. Le problème ? Impossible de vérifier sa véracité.
Seul élément sûr de l'affaire : un individu, «très connu dans son milieu de la malveillance numérique» selon Zataz, a mis en vente une base de données qui d'après lui contient 1 million de duos nom d'utilisateur/mot de passe pour le site ameli.fr. Autrement dit, de quoi se connecter au compte Ameli d'un million d'assurés. Ces données seraient d'après le malfaiteur «entièrement fraîches et privées», c'est-à-dire jamais vues jusqu'ici, ce qui justifierait le prix du fichier : 6.000 dollars (5.705 euros environ).
Tout autre conclusion sur l'affaire relève de la spéculation, pour la bonne raison qu'aucun média n'a acheté la base de données - ce qui serait par ailleurs illégal - et qu'aucun n'en connaît donc le contenu. La base de données pourrait effectivement correspondre aux promesses du malfaiteur, tout comme contenir des données n'ayant rien à voir, ce qui est courant chez les cybercriminels.
Aucun problème détecté par l'Assurance Maladie
Contactée par La Tribune, l'Assurance Maladie explique avoir pris connaissance de cette mise en vente, mais ne pas avoir détecté d'anomalie dans ses systèmes informatiques. Ce qui est anormal si la fuite est réelle. « La fuite de données évoquée par l'article publié par le site Zataz ne correspond à aucune attaque détectée par l'Assurance Maladie au sein de ses systèmes d'information. Aucun vol de données permettant aux assurés d'accéder à leur compte Ameli n'a été décelé par nos systèmes qui supervisent les connexions à nos téléservices pour repérer les comportements anormaux. Nous ne sommes donc pas en mesure de confirmer l'exactitude des informations rapportées, qui ne correspondent pas à un constat effectué dans nos outils, ni aux remontées de signalement de la part de nos assurés», écrit-elle.
Traduction : l'Assurance maladie indique donc qu'elle pense qu'il n'y a pas eu de fuite, mais elle ne peut se risquer à l'affirmer tant qu'on n'a pas vérifié le contenu du fichier vendu par le cybercriminel. Même si les outils de cybersécurité permettent de détecter des comportements inhabituels - ce qui serait probablement le cas si un million d'identifiants de connexion étaient exploités en quasi simultané par des malfaiteurs -, il existe une marge d'erreur. Et tant que l'Assurance Maladie ne peut pas contrôler la prétendue base d'identifiants, il existe une possibilité que les propos du malfaiteur soient vrais.
Face à ces menaces, l'organisme dispose déjà de plusieurs mesures pour réduire les risques. Par exemple, il a mis en place l'envoi à chaque connexion au compte Ameli d'un courriel vers l'adresse courriel liée au compte. Ainsi, si un assuré reçoit un email de connexion mais qu'il ne s'agit pas de lui, il peut immédiatement modifier son mot de passe et signaler une possible usurpation d'identité à l'Assurance Maladie. De son côté, l'organisme va continuer de rechercher des comportements inhabituels. « Nous poursuivons et renforçons nos actions de supervision des usages de l'ensemble de nos téléservices pour les adapter en continu aux modes opératoires des cyber-attaquants », écrit-il.
Vague de phishings
Si la base de données correspondait à ce qu'avance le malfaiteur, il faudrait pour la Caisse nationale d'assurance maladie (Cnam) en découvrir l'origine. L'institution écarte pour l'instant la piste d'une cyberattaque réussie, c'est pourquoi Zataz et d'autres médias évoquent la possibilité que les données aient été récupérées par des phishings. Ces messages frauduleux prétextent par exemple un faux remboursement de la part de l'Assurance Maladie pour extorquer des données aux personnes les moins prudentes.
Ces phishings reviennent à intervalles réguliers, et l'Assurance Maladie précise à La Tribune que « les tentatives de phishing se sont multipliées ces derniers temps, des personnes malveillantes cherchant à obtenir directement des assurés leurs identifiants et mots de passe de connexion ». Mais conclure que les prétendues données du fichier en vente à 6.000 dollars proviennent d'une opération de phishing ne relève pour l'heure que de la spéculation. Plus généralement, rien ne permet pour l'instant de confirmer les propos du malfaiteur.
Pour autant, comme toute organisation, la Caisse nationale d'assurance maladie (Cnam) n'est pas imperméable aux incidents de cybersécurité. En mars, elle avait rendu public -comme il est prévu dans le règlement général sur la protection des données (RGPD) - le piratage « d'au moins 19 comptes Amelipro » appartenant à des personnels de santé. Les malfaiteurs avaient profité de leur accès pour siphonner plusieurs types de données, appartenant à 510.000 assurés : nom, prénom, date de naissance, sexe, numéro de sécurité sociale, déclaration de médecin traitant, attribution de la complémentaire santé solidaire ou de l'aide médicale d'Etat, éventuelle prise en charge à 100%. La Cnam avait déclaré l'incident au gendarme français des données - la Cnil - comme prévu dans la loi, et elle avait également déposé une plainte au pénal. Aucune trace d'une éventuelle mise en vente de ces données n'a été rendue publique à ce jour.
Dette : « La signature de la France reste très forte » (Aurore Lalucq, députée européenne) (37)
Sujets les + commentés