Quelques perturbations mineures sont prévues ce week-end, veuillez nous en excuser.

https://vieviewer.com/

Systèmes d'information

Deux failles de sécurité de données personnelles du site de l'assurance maladie

0 324

PARIS (TICsanté) - Deux failles de sécurité du site Ameli.fr de l'assurance maladie permettaient d'accéder très simplement à des courriers d'assurés, a révélé le 18 décembre le site spécialisé dans l'informatique Nextinpact.

Il suffisait de "modifier le numéro identifiant les fichiers PDF adressés en pièce jointe" dans l'URL pour "accéder à des courriers adressés à d'autres assurés", a-t-il détaillé.

Les courriers comportaient les "noms, prénoms, adresses, numéros de sécurité sociale, demandes de documents et de renseignements, attestations de prise en charge ou de refus de soin" et parfois "des pièces jointes (arrêt de travail, notamment)", a énuméré le site d'information.

Il n'était "pas possible de cibler un individu en particulier", mais Nextinpact affirme avoir pu consulter les courriers de "plusieurs autres assurés" de cette manière.

Cette faille a été signalée au site "fin novembre par un lecteur", qui a alerté l'Agence nationale de sécurité des systèmes d'information (Anssi) et le service de presse de la Caisse nationale de l'assurance maladie (Cnam). Ce dernier lui a répondu que la situation "avait bien été identifiée" et "corrigée", et n'a pas donné suite à ses demandes de précisions.

Après avoir constaté que cette première faille de sécurité a bien été corrigée, Nextinpact en a découvert une deuxième: "une dizaine" de "pages personnalisées de confirmation d'inscription [sur Ameli.fr] affichant les noms et prénoms d'assurés" étaient référencées par Google, et donc accessibles à tous depuis une simple recherche.

"La plus vieille page avait été archivée le 15 septembre, la plus récente ce dimanche 8 décembre, et donc après que le premier problème [a] été corrigé", a remarqué le site spécialisé.

La faute revient au "fichier robots.txt, censé préciser aux robots [de Google] ce qu'il est permis (ou interdit) d'indexer". Ce fichier "n'existait pas" pour les pages en question.

La Cnam a fait savoir à Nextinpact qu'elle avait "réalisé les correctifs nécessaires et demandé à Google la suppression des pages qui avaient été ainsi référencées" et que les deux failles "sont bien d’origine et de nature différentes".

Cependant, le site d'information a constaté que "le fichier robots.txt n'avait toujours pas été corrigé" malgré la déclaration de l'assurance maladie, et s'est étonné à plusieurs reprises de la lenteur de ses réactions.

L'assurance maladie lui a rétorqué que ses "services juridiques ont bien demandé à Google la suppression des liens de confirmation d’ouverture/fermeture de comptes ainsi archivés, demande qui n’a pas encore abouti" et que ces liens "ne permettent pas d’accéder aux espaces personnels des assurés".

Elle a également précisé qu'il "reste une amélioration à apporter au niveau du processus de validation des emails des assurés qui créent un compte personnel sur Ameli" pour éviter que la faille ne se reproduise, et que "ce sera fait courant janvier".

"La sécurité des courriers pleinement assurée" pour la Cnam

La "sécurité des courriers est aujourd'hui pleinement assurée" et "l'anomalie identifiée a été immédiatement corrigée", a précisé la Caisse nationale de l'assurance maladie à TICsanté le 23 décembre. La Cnam a réagi à la publication d'une première dépêche faisant état des informations de Nextinpact.

Elle a fait savoir que "l'alerte communiquée par le journaliste [de Nextinpact] a été prise avec le plus grand sérieux".

L'assurance maladie a indiqué "qu’à l’exception des deux actions d’intrusion évoquées par le journaliste dans son article (la sienne et celle de la personne l’en ayant initialement informée), aucune autre consultation de documents par un assuré autre que le bénéficiaire concerné n’a été constatée".

Dans ces précisions, la Cnam a "relativisé l'ampleur et la gravité" des failles.
"Le caractère aléatoire des documents consultés ne permettait pas de cibler les documents adressés à un assuré en particulier" et "les courriers envoyés par les caisses primaires aux assurés ne contiennent pas d’information personnelle médicale", a-t-elle argué.

"L'anomalie constatée n'aurait pas pu être exploitée à des fins malveillantes car il n’y avait aucun moyen d’aller chercher des informations spécifiques sur une personne donnée, pas plus que de cibler un type de pièce", a-t-elle assuré.

LĂ©o Caravagna
leo.caravagna@apmnews.com

http://www.computer-engineering.fr/

Systèmes d'information

Hop'EN: la DGOS publie deux nouveaux guides ajustés à la feuille de route du numérique en santé

PARIS (TICsanté) - La direction générale de l'offre de soins (DGOS) a mis en ligne le 26 juillet deux nouveaux guides méthologiques relatifs au programme Hop'EN "en cohérence avec la feuille de route du numérique en santé" présentée par Agnès Buzyn le 25 avril.

0 774

En bref

RGPD: première amende aux Pays-Bas contre un établissement de santé

L'autorité néerlandaise de protection des données a infligé une amende de 460.000 euros à l'hôpital Haga de La Haye pour violation de données en application du règlement général européen relatif à la protection des données (RGPD), a relayé le 19 juillet la cellule d'accompagnement cybersécurité des structures de santé (ACSS) sur son site internet.

0 499
https://www.lacharente.fr/boite-a-outils/emploi/medecin-generaliste/

Vos réactions

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
5 + 6 =
http://www.canyon.fr/
https://www.groupepsih.com/decouvrez-hospivision/?utm_source=ticsante&utm_medium=banner&utm_campaign=Hospivison%20juin%2019

Les offres APMjob.com

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

DĂ©couvrir le site

événements

  • SIDO 2020

    Du 03/09/2020 au 04/09/2020

  • Sant'Expo 2020 (ex-Paris Healthcare Week)

    Du 07/10/2020 au 09/10/2020

  • 6e JournĂ©es des start-up innovantes du dispositif mĂ©dical

    Le 13/04/2021