Des failles de sécurité découvertes sur un site d’assurance maladie
Le site Ameli.fr souffrait de 2 importantes failles de sécurité.
L’une des failles de sécurité pouvait permettre à n’importe qui sachant s’y prendre, d’accéder aux courriers reçus et émis par les assurés. La révélation fut faite par le site Nextinpact, spécialisé dans les affaires liées à l’informatique.
Cet article va aussi vous intéresser : Les données de voyages collectées par la police nationale Française
Selon les sites internet : « Il suffisait de modifier le numéro identifiant les fichiers PDF adressés en pièce jointe dans l’URL pour accéder à des courriers adressés à d’autres assurés ». Et bien sûr ces courriers étant de véritable source d’informations car on pouvait grâce à eux avoir connaissance des certaines informations telles que « noms, prénoms, adresses, numéros de sécurité sociale, demandes de documents et de renseignements, attestations de prise en charge ou de refus de soin et parfois des pièces jointes (arrêt de travail, notamment) » selon Nextinpact.
Cette failles de sécurité ne pouvait pas permettre bien sûr « de cibler un individu en particulier ». Cependant il était possible de consulter les courriers d’un ensemble d’assurés et cela en quantité. Le site affirme que la faille de sécurité a été signalé par un lecteur qui confirme aussi avoir informé l’Agence nationale de sécurité des systèmes d’information. Par ailleurs le service de presse de la CNAM (caisse nationale de l’assurance maladie) aussi a été informé.
Selon cette dernière, les failles de sécurité aurait été maîtrisées et comblées. Cependant les deux failles de sécurité de n’ont pas été découvertes au même moment. En effet, le site d’information a affirmé que c’est après avoir signalé la première faille de sécurité et que cette dernière fut comblée par l’institution étatique, que la seconde a été mise à jour. Contrairement à la première qui permettait d’accéder aux courriers des assurés la seconde se présentait comme « une dizaine de pages personnalisées de confirmation d’inscription [sur Ameli.fr] affichant les noms et prénoms d’assurés. ». Cette page étant alors référencé le moteur de recherche Google toute personne pouvait y accéder sans aucun problème.
« La plus vieille page avait été archivée le 15 septembre, la plus récente ce dimanche 8 décembre, et donc après que le premier problème été corrigé. », a remarqué Nextinpact. Selon les informations qui a été recueilli, ce problème était visiblement dû « aux fichiers robots.txt, censé préciser aux robots [de Google] ce qu’il est permis (ou interdit) d’indexer. ». Il a été observé une absence de ce fichier dans les pages concernées.
Par ailleurs, la caisse nationale de l’assurance maladie a notifié publiquement avoir « réalisé les correctifs nécessaires et demandé à Google la suppression des pages qui avaient été ainsi référencées et que les deux failles sont bien d’origine et de nature différentes. ». Cela semble une bonne nouvelle cependant il est à notifier selon le site d’information que « le fichier robots.txt n’avait toujours pas été corrigé. » et ce malgré la déclaration faite par la CNAM. C’est ainsi de son côté, elle explique cela en signifiant que « ses services juridiques ont bien demandé à Google la suppression des liens de confirmation d’ouverture/fermeture de comptes ainsi archivés, demande qui n’a pas encore abouti et que ces liens ne permettent pas d’accéder aux espaces personnels des assurés. (…) Il reste une amélioration à apporter au niveau du processus de validation des emails des assurés qui créent un compte personnel sur Ameli pour éviter que la faille ne se reproduise, et que ce sera fait courant janvier »
pour terminer la caisse nationale de l’assurance maladie a volé assuré que « L’anomalie constatée n’aurait pas pu être exploitée à des fins malveillantes car il n’y avait aucun moyen d’aller chercher des informations spécifiques sur une personne donnée, pas plus que de cibler un type de pièce.». Comme quoi il n’y avait pas de danger véritable et que l’inquiétude peut être dorénavant levée.
Accédez maintenant à un nombre illimité de mot de passe :