Commentaires : Assurance maladie : plus de 500 000 comptes piratés

Ameli
a été victime d’une grosse fuite de données. Les pirates ont ciblé 19 très gros établissements de santé et ont mis la main sur des centaines de milliers de comptes.

2 « J'aime »

Hier j’ai reçu un mail m’encourageant à mettre toutes mes données médicales sur le site « Mon espace santé ». Mouai… on va attendre un peu :face_with_raised_eyebrow:

14 « J'aime »

je vient de changer mes identifiant/pass

Je ne vois pas comment ils ont fait:
Employées laxistes a ne pas utiliser de mdp complexes?
Siphonage d’un token d’authentification?
Click sans reflechir a un faux email interne?

Enfin bref, par ailleurs, les entreprises dignes de ce noms utilisent le 2FA pour se connecter aux applications entreprises, surtout a une époque de télétravail dont on sait jamais comment le collaborateur prennent soin de son Windows!

1 « J'aime »

1 - PUNIR n’importe quel personne se faisant avoir par du phishing… En 2022 c’est juste intolérable.
2 - Crypter les put… de base de données ! C’est pas dur, on le fait pour les mots de passes, il suffit de faire pareil pour le reste. 1 clé privée dans le serveur, une clé utilisateur.
Sérieux ! C’est juste scandaleux.

3 « J'aime »

Ne prenez pas la voiture ! Certaines tombent en panne, d’autres prennent feu, c’est super dangereux !

Logique imparable …

7 « J'aime »

Pas sûr que cela serve dans ce cas (accès non autorisé à partir d’un identifiant valide).

1 « J'aime »

Il semblerait que les pro (médecins etc…) ne soient pas plus futés que le quidam ordinaire et pourtant ils se vantent de 10 ans d’études…

6 « J'aime »

On n’avait pas dit qu’un système blockchain était la parade à tous les maux du piratage ? Que je suis bête ! On préfère se concentrer sur ce que ça peut rapporter en cryptomonnaies en ne faisant rien…

1 « J'aime »

1 - On ne peut pas punir des erreurs de ce type. D’autant plus que certains phishing sont franchement loin d’être si facilement identifiable quand ils sont bien travaillé.

2 - Le cryptage ici ne servirait a rien puisque c’est bien un accès « normal » qui a été fait au travers de compte subtilisés. La vraie question ca serait de savoir pourquoi il n’y a pas une authentification forte sur un site comme AmeliPro, chose qu’il n’y a pas non plus sur la version particulier. C’est a mon avis là le scandale que l’accès à une plateforme aussi sensible ne semble reposer que sur un login/mot de passe.

6 « J'aime »

Le métier d’un médecin c’est de soigner les gens, pas la sécurité informatique surtout que rien ne laisse présager dans l’article que c’est de leur faute.

J’ajouterai même qu’une majorité de médecins sont assez âgés et ont dû s’adapter au nouveau usage du numérique alors que leur formation initiale n’y était pas préparé

6 « J'aime »

Voilà la raison pour laquelle je n’accepterai pas la centralisation de mes données de santé sur le site que propose le gouvernement (irresponsable de surcroit).

C’est ce même gouvernement qui nous expliquait il n’y a pas longtemps qu’il n’y avait pas de liberté sans sécurité. Et qu’il n’y avait pas de liberté sans responsabilité. Là, nos données ne sont pas ou mal sécurisées et le gouvernement est irresponsable de centraliser des données sensible non ou mal sécurisée. Ne pas mettre ses oeufs dans le même panier est la 1ère des règles de bases de sécurité lorsque des données massives sont aussi largement accessible.

Nous payons le prix de la simplicité d’accès des données numériques au détriment de la sécurité permise par l’analogique.

Bonjour,

Vous allez bénéficier de Mon espace santé. Ce nouveau service public, numérique et sécurisé, hébergé en France, vous permet d’être acteur au quotidien de votre santé et de celle de vos proches.

Dans un délai de 6 semaines à partir de la réception de cet e-mail, le service Mon espace santé sera créé automatiquement …

3 « J'aime »

1 sur n’importe quel phishing, aussi propre soit il il suffit de matter les URL cibles… 10 min de formation bordel !

1 « J'aime »

Ah bah si chez les professionnels de la santé il n’y a personne entre le clavier et le fauteuil… Il ne faut s’étonner de rien…

Je fais partie de ces « assez âgés » qui a du s’adapter au tout numérique (évaluations, notations, cours, recherches sur le Net…) pour ma profession d’enseignant et je ne me suis jamais fait avoir par un phishing ou autre courrier suspect. Comme quoi…

3 « J'aime »

Le pire, c’est que je n’arrive même pas à m’opposer à la création automatique de mon compte. Un message d’erreur apparait m’indiquant qu’il n’arrivent pas à m’identifier. Quel arnaque cette création de compte automatique.

heu, sur un parc, si les utilisateurs sont admins de la machine, c’est clairement un probleme d’admin systeme …

1 « J'aime »

Je pense qu’une double authentification par une application sur téléphone mobile serait un minimum.

Mais je pense que les attaques ciblées sont quasi imparables en dehors d’une organisation qui à les moyens d’assurer l’activité cyber.

Ce qui est le plus étonnant c’est qu’ameliepro ne soit pas protège contre un siphonage de base en limitant le nombre de requêtes venant de la même Ip.

5 « J'aime »

Je comprends pas. Pas de 2FA? Pas de Siem? De DLP? Rien qui alerte de l’activité suspecte???
Desolé mais j’ai l’impression qu’on a encore pris des raccourcis pour economiser.

1 « J'aime »

Un autre point critique à mon avis, c’est aussi le fait qu’une personne, aussi professionnelle de santé soit-elle, puisse accéder massivement à des données de nombreuses personnes… Clairement, il devrait y avoir des gardes-fous, aussi bien sur la quantité de données récupérables (exemple perso, j’ai bossé sur un projet où j’avais accès à l’intégralité du code source d’un OS propriétaire, mais en pratique je n’étais censé en avoir besoin que de manière limitée et ponctuelle, du coup s’il me venait à l’idée de télécharger massivement des fichiers de ce code source, c’était automatiquement bloqué, avec levée d’une alerte auprès de mon manager) que sur les personnes dont on peut avoir accès aux données (cf le fait que des professionnels de santé avaient pu récupérer et diffuser le QR du pass sanitaire de Macron…).

Un professionnel de santé qui accède à plus de dix dossiers dans la même heure, ça devrait être bloqué par défaut. Avec déblocage sur approbation du responsable hiérarchique. Un professionnel de santé qui accède au dossier d’un patient résidant normalement à plus de 100 km du lieu d’exercice et n’ayant jamais fréquenté ce lieu par le passé, pareil, ça devrait être bloqué par défaut, avec déblocage sur approbation d’un collègue du même établissement (situation d’urgence, par exemple si le patient a été victime d’un accident loin de chez lui) où sur présentation de la carte Vitale du patient (par exemple, quelqu’un qui va voir un médecin pendant qu’il est en vacances).

Avec l’autorisation de tous les caractères UTF-8 dans les URL, ce n’est plus si simple… Il y a des caractères UTF-8 qui ne sont pas les caractères latins classiques mais en sont indiscernables visuellement. Par exemple, ceci n’est PAS l’adresse de Clubic (la première et la dernière lettre du « clubic » sont différentes) : сlubiс.com

Pas si flagrant, non ? Certains navigateurs vont automatiquement convertir ça en l’équivalent latin pour l’affichage dans la barre d’adresse ou l’info-bulle indiquant la destination d’un lien, mais pas tous.

Le seul truc fiable, c’est de vérifier à chaque fois qui est le titulaire et l’émetteur du certificat SSL (donc pas juste vérifier que le SSL est activé et signé avec un certificat valide)… Mais même ça, ça ne saute pas forcément aux yeux quand c’est un faux, surtout si on ne connait pas les informations censées être dans le certificat officiel. Par exemple, dans le cas de Clubic, l’autorité de certification utilisée vérifie juste que le demandeur est titulaire du domaine (aucune vérification de son identité/raison sociale). Si je possédais le domaine сlubiс.com, je pourrais avoir un certificat qui visuellement semble identique (visuellement même nom de domaine, même autorité de certification).

Auprès d’une autorité de certification vérifiant la raison sociale, ce serait un poil plus compliqué. Mais pas impossible. Je devrais « juste » créer une société appelée Ϲlubiс SAS (encore une fois, ce n’est PAS le Clubic que tu connais, la première et la dernière lettre sont différentes) puis demander un certificat SSL au nom de cette société…

Et surtout, un truc comme ça, tu auras beau former les gens, à peu près personne ne prendra la peine de vérifier. Toi, qui dit que c’est si simple, vérifies-tu systématiquement le contenu du certificat SSL de tous les sites sur lesquels tu saisis des logins/mot de passe ?

Ajoute à ça que les professionnels de santé ont été particulièrement sous pression ces dernières années, ce qui mène inévitablement à une fatigue physique et intellectuelle, et ça devient inévitable que certains soient pris dans le piège. Et je n’irai pas les blâmer pour ça.

2 « J'aime »

La faute à l’humain (les employés qui se sont laissés berner par le phishing). Le site Ameli en tant que tel est protégé selon les dires de l’article. Ce n’est pas une question de piratage mais une arnaque au phishing.

2 « J'aime »