Non, il ne faut pas que ça soit dépendant du patient. Parce que parfois il peut y avoir une urgence vitale qui nécessite d’accéder au dossier de l’assuré sans que le patient soit en mesure de donner son identifiant.
Mais effectivement, il faudrait des gardes fous, avec par exemple besoin des identifiants de deux soignants ou du soignant et du patient pour accéder au dossier d’un patient qui n’a jamais fréquenté l’établissement.
Y a-t-il des conséquences juridiques pour les personnes « victimes » du phishing? Parce qu’au bout d’un moment, quand on a un accès à autant de données personnelles, on se doit d’être irréprochable sur ce genre de choses.
Et ce n’est pas comme si le phishing était une toute nouvelle pratique…
Punir !!
Punir ces pauvres demeurés d’utilisateurs qui font vraiment que des conneries de débutant.
tous les utilisateurs devraient naturellement être capable de déceler la moindre attaque.
Parce que si c’est pas du phishing ça sera autre chose, Toujours plus vicieux et compliqué.
Et qu’après tout un niveau ingénieur en cyber sécurité c’est quand même le minimum attendu pour lire un mail.
Y’a des fois je me demande si vous vous relisez.
Et de vous à moi, si tout le monde avait votre niveau certains parmi vous n’auraient plus de boulot.
Ben non, c’est pas plus compliqué que ça. Je n’ai jamais été victime de phishing et pourtant j’en ai reçu des tonnes de tentatives en 27 ans.
Effectivement le 1er point faible d’un système informatique c’est l’humain. Se retenir de cliquer dans un mail, qu’il soit officiel ou du phishing, c’est la consigne la plus simple à suivre.
Il y a peu de recours. Dernièrement j’ai eu un ami qui s’est fait avoir par un phishing bancaire (au final plus de 2000€ volés). Normalement les assurances et la loi couvrent les fraudes, sauf que les banques argumentent qu’il ne s’agit pas de fraude mais de négligence de la part du client. Elles refusent donc catégoriquement de rembourser.
Oui. Et 5 min avant de mourir, Elvis était encore en vie. Dingue, non ? Et ton ami qui s’est fait avoir, il pouvait peut-être aussi dire 5 min plus tôt qu’il n’avait jamais été victime malgré des tonnes de tentatives en 27 ans…
Déjà, faudrait faire la distinction entre phishing et phishing hein… Parce que les phishing « grand public » qui ratissent large et qu’on reçoit par dizaine toutes les semaines, c’est pas la même chose qu’un phishing ultra ciblé°. As-tu déjà été attaqué par des phishing ciblés dans le cadre de ton activité professionnelle ?
Ensuite, c’est pas non plus la même chose quand on a un boulot « tranquille » à 40h par semaine/8h par jour avec trois pauses dans la journée et quand on a un boulot où on est sous forte pression, où on enchaîne parfois plus de 24h de travail sans interruption, où les 40h se font parfois en 2 jours, et ce depuis plusieurs années, avec un rythme qui s’est encore accéléré ces deux dernières années…
° je vais donner un petit exemple perso de ce que peut par exemple être un phishing ultra-ciblé : il y a quelques années, j’ai reçu sur ma boîte pro un mail qui semblait émaner du service juridique du client chez qui j’étais en prestation et qui m’indiquait qu’un robot a constaté que j’ai publié sur GitHub du code appartenant à la boîte (robot dont je sais qu’il existe bel et bien !). Suivait une liste de fichiers que j’avais effectivement publiés sur GitHub quelques jours plus tôt, mais qui n’appartenait pas à la boîte.
Puis un lien pour avoir plus de détails sur l’analyse faite par le robot.
Ben je peux te dire qu’avec la montée d’adrénaline que je me suis pris en recevant le mail (qui dans mon cas, en tant que prestataire indépendant, pouvait éventuellement signifier perte de mon poste sous un délai de 5 jours, poursuites judiciaires…), j’ai pas réfléchi, je me suis dit que j’avais peut-être fait une connerie et poussé accidentellement un bout de code de la boîte, et j’ai cliqué pour avoir les détails…
Ce qui m’a sauvé finalement, c’est que la page sur laquelle je suis arrivé m’a demandé de me connecter au SSO de la boîte alors que je m’y étais déjà connecté 10 min avant et que les sessions durent normalement plusieurs heures. C’est là que j’ai tiqué, j’ai vérifié l’URL dans la barre d’adresse, y avait un i à la place d’un l dans le nom de domaine. Dans le mail, il était en majuscule, ça suffisait pour tromper visuellement… Il n’y a qu’une fois dans le navigateur que ça devenait un i, car il passe tout en minuscule.
Si je ne m’étais pas connecté au SSO de la boîte 10 minutes plus tôt, je me serai sans doute fait avoir. Parce que le mail était beaucoup trop précis et détaillé pour éveiller les soupçons en première lecture, tout en provoquant un bon gros coup de stress qui ampute forcément le discernement. Le mail était en outre affiché dans le client mail comme étant correctement signé (et pour cause, même astuce sur le mail de l’expéditeur, i majuscule à la place de l dans le domaine, et mail signé proprement avec un certificat DKIM associé à ce faux domaine).
Parce que tu crois que les fausses cartes vitales n’existent pas ?
T’es bien naif …
Et comme t’aimes bien les sources …
Certains boss ne comprennent absolument rien à la sécurité. Et c’est malheureusement le cas dans de nombreuses startups ou sociétés avec moins de 30 salariés.
Soit dans l’exemple donné.
Mais heureusement les sociétés un peu plus importantes avec un service informatique constitué de plus de 2 personnes peuvent mettre en place de multiples solutions de backup. Là ou l’employé lambda d’une startup n’aura jamais installé de générateur sur son 2eme téléphone et n’aura pas non plus noté le numéro de téléphone de secours pour intervenir en cas de problème.
Mais c’est ce même salarié qui justifiera son retard de travail parce qu’il n’a pas pu se loguer et que donc ce n’est pas sa faute… Et le boss va l’écouter.
On en parle des sites qui comme question secrète pour réinitialiser ton mdp demande ta date de naissance ? Arrrggggghhhh
Nan pire tu commandes une nouvelle vraie carte vitale tu te logges sur le compte tu changes l’adresse le mail … et quelques temps après tu déclares ta carte volée perdue ou ce que tu veux t’en as une toute neuve parfaitement légale … pour la photo meme un faussaire de pietre qualité peut arranger le probleme.
Non. Je dis juste que les informations récupérées lors de ces accès frauduleux à Ameli Pro ne permettent pas de fabriquer de fausses cartes Vitale.
Fallait lire l’article, pas t’arrêter au titre. Il ne s’agit pas de fausses cartes Vitale, mais de cartes Vitale émises par l’assurance maladie et qui sont restées actives alors qu’elles ne devrait pas l’être, par exemple parce qu’une carte perdue a été retrouvée après avoir demandé une carte de remplacement, ou parce que des gens changeant de caisse d’assurance maladie recevaient une nouvelle carte alors que leur ancienne caisse leur en avait déjà fourni une.
Le cas des cartes perdues retrouvées est même explicitement cité dans l’article comme la raison principale de ces cartes surnuméraires : " Selon l’ancien directeur de la CNAM Nicolas Revel, il s’agit principalement d’« assurés qui déclarent avoir perdu leur carte Vitale, enclenchent leur renouvellement puis retrouvent la carte prétendument perdue »."
« Par exemple, un assuré étudiant devenant travailleur indépendant, puis salarié, pouvait, à chaque changement de statut, recevoir une nouvelle carte Vitale, tout en conservant la précédente. »
Dans tous ces cas, il ne s’agit pas de fausses cartes vitales. Ce « fausse » est juste un mauvais vocabulaire employé par un homme politique habitué aux informations vagues, si ce n’est fausse et qui ne comprend pas de quoi il parle.
Sauf que encore une fois, tu imagines des choses qui ne sont pas possibles avec les informations qui ont été volées cette fois.
Pour se connecter au compte Ameli d’un particulier, il ne suffit pas d’avoir son nom et son numéro de sécu. Il faut aussi son mot de passe Ameli. Mot de passe qui n’a pas été volé (logique, il n’y AUCUNE raison que des professionnels de santé puissent récupérer via Ameli Pro le mot de passe Ameli d’un assuré… mot de passe qui de toute façon est sans doute stocké sur le serveur Ameli sous forme hachée et salée, donc impossible à récupérer en clair). S’il y avait un moindre risque sur les mots de passe, l’AM aurait de toute façon réinitialisé les mots de passe des assurés concernés.
Ensuite, quand bien même un utilisateur aurait un mot de passe Ameli facile à deviner, ce qui permettrait à l’attaquant de se connecter à son compte Ameli, le changement d’adresse mail n’est pas aussi facile et immédiat que tu le crois. En effet, pour changer l’adresse mail associée à un compte Ameli, il faut saisir l’adresse mail actuellement associée au compte, dont le site ne donne que les deux premières lettres :
Or cette adresse mail complète ne fait PAS partie des données qui ont été volées (comme précisé dans l’article, l’AM a indiqué qu’aucune information de contact n’a été volée).
Bon, maintenant supposons que par chance l’attaquant ait réussi aussi à deviner l’ancienne adresse et ait pu mettre la sienne à la place. Un mail a immédiatement été envoyé à l’ancienne adresse pour prévenir l’utilisateur du changement, et surtout, lui demander de prévenir l’AM si cette demande de changement ne venait pas de lui.
Enfin, pour commander une nouvelle carte Vitale, il faudrait changer l’adresse postale associée au compte. Là je vais pas essayer, parce que je n’ai pas d’autre adresse postale que la mienne, et je vais pas jouer à mettre des informations bidons, mais je doute fort que le site permette de changer l’adresse postale sans fournir de justificatif et sans vérification manuelle côté AM.
Bref, c’est loin d’être aussi facile que tu le prétends.
Je n’aurais pas dit mieux que l’autre réponse de MattS32, impossible de faire ce dont tu parles juste avec ces données dérobées…
C’est bien ce que je disais : ne jamais cliquer à l’intérieur d’un email, quelle qu’en soit l’origine. Qu’on soit en stress, euphorique, enrhumé ou mal luné c’est la consigne la plus simple à suivre.
Perso je ne donne JAMAIS une réponse personnelle sur les questions secrètes. Pour les trucs les moins sensibles, j’utilise les données d’un personnage de fiction ou d’un personnage historique. Quand c’est plus sensible, celles d’un proche. Et je me note quelque part la liste des personnes utilisées.
Par exemple, sur mon ancien PC, j’avais utilisé Astérix pour les questions de Windows 10 :
)Pour mon PC pro, j’utilise les données d’un de mes cousins.
Ça nécessite parfois un peu d’imagination quand les questions portent sur des éléments qui n’existent pas directement dans l’histoire du personnage (par exemple les questions sur les parents, c’est relativement facile pour les proches ou les personnages historiques, moins pour ceux de fiction… du coup pour la fiction je privilégie les personnages de BD, qui ont souvent deux auteurs qui feront office de parents).
+1
Personnellement, je colle un truc type mot de passe complexe ou encore phrase de passe.
Et comment je m’en souviens ? Keepass. 
Nan mais les gars vous oubliez que les geeks ne représentent qu’une infime parie de la population… parle voir de keepass a des gens dans la rue tu verras leur tete …
Il y a UN mot qui a du t’échapper dans ma phrase :
Je n’ai jamais dis que tout le monde devait le faire.
Keepass est un outil que j’utilise, je n’ai JAMAIS prétendu que tout le monde connaissait non plus.
Edit : Cela devient lassant cette déformation des propos pour tourner en ridicule l’auteur d’un message.
J’ai juste exposé une méthode personnelle, il aurait fallu que j’indique : « Attention, ceci n’est qu’une méthode personnelle exposée à des fins d’informations et non une recommandation adressée au monde entier » ? 
« …et bloqué les adresses IP des auteurs de l’attaque » kikoo lol ça ne sert à rien comme si les gars s’étaient connectés directement depuis leur FAI.
On en revient à l’essentiel comme maintes fois: le problème est entre l’écran et le clavier.
J’invite les pirates à faire beaucoup de remboursements aux patients.
Merci d’avance. (je blague, bien sûr)
La blockchain étant une trace publique répliquée de transactions il me semble étrange de vouloir confier à cette technologie le secret médical… votre commentaire gagnerait à être détaillé sur son approche technique 
