https://vieviewer.com/

Systèmes d'information

Deux failles de sécurité de données personnelles du site de l'assurance maladie

0 136

PARIS (TICsanté) - Deux failles de sécurité du site Ameli.fr de l'assurance maladie permettaient d'accéder très simplement à des courriers d'assurés, a révélé le 18 décembre le site spécialisé dans l'informatique Nextinpact.

Il suffisait de "modifier le numéro identifiant les fichiers PDF adressés en pièce jointe" dans l'URL pour "accéder à des courriers adressés à d'autres assurés", a-t-il détaillé.

Les courriers comportaient les "noms, prénoms, adresses, numéros de sécurité sociale, demandes de documents et de renseignements, attestations de prise en charge ou de refus de soin" et parfois "des pièces jointes (arrêt de travail, notamment)", a énuméré le site d'information.

Il n'était "pas possible de cibler un individu en particulier", mais Nextinpact affirme avoir pu consulter les courriers de "plusieurs autres assurés" de cette manière.

Cette faille a été signalée au site "fin novembre par un lecteur", qui a alerté l'Agence nationale de sécurité des systèmes d'information (Anssi) et le service de presse de la Caisse nationale de l'assurance maladie (Cnam). Ce dernier lui a répondu que la situation "avait bien été identifiée" et "corrigée", et n'a pas donné suite à ses demandes de précisions.

Après avoir constaté que cette première faille de sécurité a bien été corrigée, Nextinpact en a découvert une deuxième: "une dizaine" de "pages personnalisées de confirmation d'inscription [sur Ameli.fr] affichant les noms et prénoms d'assurés" étaient référencées par Google, et donc accessibles à tous depuis une simple recherche.

"La plus vieille page avait été archivée le 15 septembre, la plus récente ce dimanche 8 décembre, et donc après que le premier problème [a] été corrigé", a remarqué le site spécialisé.

La faute revient au "fichier robots.txt, censé préciser aux robots [de Google] ce qu'il est permis (ou interdit) d'indexer". Ce fichier "n'existait pas" pour les pages en question.

La Cnam a fait savoir à Nextinpact qu'elle avait "réalisé les correctifs nécessaires et demandé à Google la suppression des pages qui avaient été ainsi référencées" et que les deux failles "sont bien d’origine et de nature différentes".

Cependant, le site d'information a constaté que "le fichier robots.txt n'avait toujours pas été corrigé" malgré la déclaration de l'assurance maladie, et s'est étonné à plusieurs reprises de la lenteur de ses réactions.

L'assurance maladie lui a rétorqué que ses "services juridiques ont bien demandé à Google la suppression des liens de confirmation d’ouverture/fermeture de comptes ainsi archivés, demande qui n’a pas encore abouti" et que ces liens "ne permettent pas d’accéder aux espaces personnels des assurés".

Elle a également précisé qu'il "reste une amélioration à apporter au niveau du processus de validation des emails des assurés qui créent un compte personnel sur Ameli" pour éviter que la faille ne se reproduise, et que "ce sera fait courant janvier".

"La sécurité des courriers pleinement assurée" pour la Cnam

La "sécurité des courriers est aujourd'hui pleinement assurée" et "l'anomalie identifiée a été immédiatement corrigée", a précisé la Caisse nationale de l'assurance maladie à TICsanté le 23 décembre. La Cnam a réagi à la publication d'une première dépêche faisant état des informations de Nextinpact.

Elle a fait savoir que "l'alerte communiquée par le journaliste [de Nextinpact] a été prise avec le plus grand sérieux".

L'assurance maladie a indiqué "qu’à l’exception des deux actions d’intrusion évoquées par le journaliste dans son article (la sienne et celle de la personne l’en ayant initialement informée), aucune autre consultation de documents par un assuré autre que le bénéficiaire concerné n’a été constatée".

Dans ces précisions, la Cnam a "relativisé l'ampleur et la gravité" des failles.
"Le caractère aléatoire des documents consultés ne permettait pas de cibler les documents adressés à un assuré en particulier" et "les courriers envoyés par les caisses primaires aux assurés ne contiennent pas d’information personnelle médicale", a-t-elle argué.

"L'anomalie constatée n'aurait pas pu être exploitée à des fins malveillantes car il n’y avait aucun moyen d’aller chercher des informations spécifiques sur une personne donnée, pas plus que de cibler un type de pièce", a-t-elle assuré.

Léo Caravagna

http://www.computer-engineering.fr/

Politique

Comment Agnès Buzyn souhaite "intensifier" la sécurité et l’interopérabilité des systèmes d’information en santé

PARIS (TICsanté) - La ministre des solidarités et de la santé, Agnès Buzyn, a rappelé l'importance d'"intensifier" la sécurité et l’interopérabilité des systèmes d’information (SI) en santé pour établir un cadre numérique efficient et fiable, le 25 avril à l'occasion de la présentation de sa feuille de route pour le numérique en santé, à Paris.

0 538

Systèmes d'information

La DGOS publie un mémento sur la protection des données personnelles

PARIS (TICsanté) - La direction générale de l'offre de soins (DGOS) a publié fin mars un mémento à l'usage des directions d'établissements de santé afin de les sensibiliser aux impacts du règlement général européen relatif à la protection des données personnelles (RGPD).

0 470

Vos réactions

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
8 + 7 =
http://www.canyon.fr/
https://www.groupepsih.com/decouvrez-hospivision/?utm_source=ticsante&utm_medium=banner&utm_campaign=Hospivison%20juin%2019

Les offres APMjob.com

https://www.santexpo.com/infos-pratiques/obtenez-badge-visiteur/?utm_campaign=SE&utm_source=SW&utm_medium=BAN&utm_term=TICSANTE

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

Découvrir le site

événements

  • Hacking Health Camp 2020

    Du 20/03/2020 au 22/03/2020

  • 8e congrès de l'Apssis

    Du 31/03/2020 au 02/04/2020

  • 3e colloque sur l'imagerie à l'heure de l'IA

    Le 22/04/2020

  • 6e Journées des start-up innovantes du dispositif médical

    Le 12/05/2020

  • SIDO 2020

    Du 12/05/2020 au 13/05/2020

  • Sant'Expo 2020 (ex-Paris Healthcare Week)

    Du 26/05/2020 au 28/05/2020

  • 12e colloque données de santé en vie réelle

    Le 16/06/2020