https://vieviewer.com/
https://www.sham.fr/vos-donnees?utm_source=site_web&utm_medium=banner&utm_campaign=banniere_gif_ticsante_octobre&utm_term=&utm_content=

Systèmes d'information

Deux failles de sécurité de données personnelles du site de l'assurance maladie

0 493

PARIS (TICsanté) - Deux failles de sécurité du site Ameli.fr de l'assurance maladie permettaient d'accéder très simplement à des courriers d'assurés, a révélé le 18 décembre le site spécialisé dans l'informatique Nextinpact.

Il suffisait de "modifier le numéro identifiant les fichiers PDF adressés en pièce jointe" dans l'URL pour "accéder à des courriers adressés à d'autres assurés", a-t-il détaillé.

Les courriers comportaient les "noms, prénoms, adresses, numéros de sécurité sociale, demandes de documents et de renseignements, attestations de prise en charge ou de refus de soin" et parfois "des pièces jointes (arrêt de travail, notamment)", a énuméré le site d'information.

Il n'était "pas possible de cibler un individu en particulier", mais Nextinpact affirme avoir pu consulter les courriers de "plusieurs autres assurés" de cette manière.

Cette faille a été signalée au site "fin novembre par un lecteur", qui a alerté l'Agence nationale de sécurité des systèmes d'information (Anssi) et le service de presse de la Caisse nationale de l'assurance maladie (Cnam). Ce dernier lui a répondu que la situation "avait bien été identifiée" et "corrigée", et n'a pas donné suite à ses demandes de précisions.

Après avoir constaté que cette première faille de sécurité a bien été corrigée, Nextinpact en a découvert une deuxième: "une dizaine" de "pages personnalisées de confirmation d'inscription [sur Ameli.fr] affichant les noms et prénoms d'assurés" étaient référencées par Google, et donc accessibles à tous depuis une simple recherche.

"La plus vieille page avait été archivée le 15 septembre, la plus récente ce dimanche 8 décembre, et donc après que le premier problème [a] été corrigé", a remarqué le site spécialisé.

La faute revient au "fichier robots.txt, censé préciser aux robots [de Google] ce qu'il est permis (ou interdit) d'indexer". Ce fichier "n'existait pas" pour les pages en question.

La Cnam a fait savoir à Nextinpact qu'elle avait "réalisé les correctifs nécessaires et demandé à Google la suppression des pages qui avaient été ainsi référencées" et que les deux failles "sont bien d’origine et de nature différentes".

Cependant, le site d'information a constaté que "le fichier robots.txt n'avait toujours pas été corrigé" malgré la déclaration de l'assurance maladie, et s'est étonné à plusieurs reprises de la lenteur de ses réactions.

L'assurance maladie lui a rétorqué que ses "services juridiques ont bien demandé à Google la suppression des liens de confirmation d’ouverture/fermeture de comptes ainsi archivés, demande qui n’a pas encore abouti" et que ces liens "ne permettent pas d’accéder aux espaces personnels des assurés".

Elle a également précisé qu'il "reste une amélioration à apporter au niveau du processus de validation des emails des assurés qui créent un compte personnel sur Ameli" pour éviter que la faille ne se reproduise, et que "ce sera fait courant janvier".

"La sécurité des courriers pleinement assurée" pour la Cnam

La "sécurité des courriers est aujourd'hui pleinement assurée" et "l'anomalie identifiée a été immédiatement corrigée", a précisé la Caisse nationale de l'assurance maladie à TICsanté le 23 décembre. La Cnam a réagi à la publication d'une première dépêche faisant état des informations de Nextinpact.

Elle a fait savoir que "l'alerte communiquée par le journaliste [de Nextinpact] a été prise avec le plus grand sérieux".

L'assurance maladie a indiqué "qu’à l’exception des deux actions d’intrusion évoquées par le journaliste dans son article (la sienne et celle de la personne l’en ayant initialement informée), aucune autre consultation de documents par un assuré autre que le bénéficiaire concerné n’a été constatée".

Dans ces précisions, la Cnam a "relativisé l'ampleur et la gravité" des failles.
"Le caractère aléatoire des documents consultés ne permettait pas de cibler les documents adressés à un assuré en particulier" et "les courriers envoyés par les caisses primaires aux assurés ne contiennent pas d’information personnelle médicale", a-t-elle argué.

"L'anomalie constatée n'aurait pas pu être exploitée à des fins malveillantes car il n’y avait aucun moyen d’aller chercher des informations spécifiques sur une personne donnée, pas plus que de cibler un type de pièce", a-t-elle assuré.

LĂ©o Caravagna
leo.caravagna@apmnews.com

http://www.computer-engineering.fr/

Systèmes d'information

Cybersécurité: 693 incidents déclarés par les structures de santé depuis deux ans

PARIS (TICsanté) - L'Agence des systèmes d'information partagés de santé (Asip santé) a recensé 693 incidents déclarés par les structures sanitaires depuis la mise en place d'un nouveau dispositif de signalement, en octobre 2017, a-t-elle indiqué le 2 décembre à TICsanté.

0 659

Politique

Virage numérique du médico-social : un fonds d’amorçage de 30 millions d’euros prévu (DGCS)

MARSEILLE (TICsanté) - Le plan "ESMS numérique" bénéficie d’un fonds d’amorçage de 30 millions d’euros pour accompagner à partir de 2020 les établissements sociaux et médico-sociaux dans le virage numérique, a précisé Virginie Lasserre, directrice générale de la cohésion sociale (DGCS), lors d’une intervention au congrès de la Fédération des établissements hospitaliers et d'aide à la personne privés non lucratifs (Fehap), qui s'est tenue le 27 novembre à Marseille.

0 907

Vos réactions

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
5 + 3 =
http://www.canyon.fr/
https://openbi.org/

Les offres APMjob.com

https://www.dedalus-france.fr/

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

DĂ©couvrir le site

événements

  • HDI Day

    Le 18/11/2020

  • SantExpo Live (ex-Paris Healthcare Week)

    Du 15/12/2020 au 17/12/2020

  • Consumer Electronics Show (CES) 2021

    Du 11/01/2021 au 14/01/2021

  • 6e JournĂ©es des start-up innovantes du dispositif mĂ©dical

    Le 13/04/2021