L’Assurance Maladie révèle le 17 mars qu’elle a détecté des accès aux informations de 510 000 assurés. Via des connections à son service Infopatient, des attaquants ont procédé à des interrogations ‘en chaîne’, avec l’utilisation d’un robot.
Des données de santé administratives
Le service piraté donne accès à certaines informations administratives d’assurés à partir de leur numéro de sécurité sociale. Les données concernées sont les données d’identité (nom, prénom, date de naissance, sexe), le numéro de sécurité sociale, ainsi que des données relatives aux droits (déclaration d’un médecin traitant, attribution de la complémentaire santé solidaire ou de l’aide médicale d’Etat, prise en charge éventuelle à 100%).
En revanche, les informations de contact (email, adresse, téléphone), les coordonnées bancaires et les données relatives aux éventuelles pathologies et aux maladies et à la consommation de soins, ne sont pas concernées.
Selon les premières analyses, les attaquants ont pu se connecter à des comptes de professionnels dont les adresses e-mail avaient été compromises. A ce stade, 19 comptes de professionnels de santé ont été identifiés. C’est en fin de semaine dernière que l’Assurance Maladie a détecté que des personnes non autorisées ont réussi à se connecter à des comptes amelipro, réservés aux professionnels de santé.
Les adresses IP des intrus bloquées
Lors de l’identification de l’attaque et des comptes professionnels à l’origine de ces sollicitations anormales du service Infopatient, les adresses IP concernées ont été interdites. Les comptes des professionnels de santé ont été réinitialisés. L’Assurance Maladie continue de surveiller les éventuelles anomalies d’identification aux téléservices du portail amelipro.
L’Assurance Maladie a adressé une notification à la Cnil le 16 mars 2022 et déposé le lendemain une plainte pénale. Les 510 000 assurés concernés à ce stade par cette fuite de données seront informés individuellement de cet incident. Ils seront sensibilisés au risque accru de hameçonnage dont ils pourraient faire l’objet. Une information est également prévue à destination des professionnels de santé afin de les inviter à renforcer la sécurisation de leur compte amelipro. Amelipro est le portail qui permet aux professionnels de santé d’accéder à l’ensemble des téléservices proposés par l’Assurance Maladie pour accompagner leur activité.