Plus de la moitié de la population française a récemment été victime d’un vol de données. Cette attaque a été orchestrée via l’envoi de fausses informations à des tiers, ciblant spécifiquement deux sociétés. Malgré la récurrence de ces incidents, les entreprises responsables de la gestion de ces données échappent souvent à des poursuites judiciaires. Cela soulève des questions sur la responsabilité : est-elle du côté des sociétés de protection des données, des professionnels victimes d’hameçonnage, ou des individus affectés par ces vols ? Mais surtout comment se protéger à des attaques utilisant nos données ?
Les victimes et la nature des données compromises
Les entités touchées par cette fuite sont Viamedis et Almerys, deux organismes gérant le tiers payant pour des complémentaires santé. La probabilité que vos informations personnelles, ainsi que celles de votre famille, soient compromises est significative. Les données volées incluent suivant le prestataire :
Pour la société Viamedis, victime d’un hameçonnage annoncé le jeudi 1ᵉʳ février mais ayant eu lieu le 29 janvier , les données dérobées portait sur :
état civil sans autre précision,
date de naissance,
numéro de sécurité sociale,
nom de l’assureur santé,
garanties ouvertes au tiers payant plus une cinquantaine de factures pour chaque bénéficiaire.
Les informations dérobées concerne pour Almerys, dont l’attaque a été confirmée le 5 février 2024 sont :
nom et prénom,
date de naissance,
rang de naissance,
numéro de sécurité sociale,
nom de l’assureur santé,
numéro de contrat de l’assureur,
une référence interne à la société
Chiffonnette Apple
Constituée d’un matériau non abrasif doux au toucher, la chiffonnette nettoie n’importe quel écran Apple, y compris ceux en verre nano-texturé, comme ceux des Chromebook et autres écrans de façon efficace et sûre.
Le mode opératoire employé
Comme dans la majorité des cas dans ce type d’attaques, c’est par un tiers que les voleurs ont pu pénétrer dans les bases de données des prestataires de santé. Je rappelle que ceux-ci assurent la gestion du tiers-payant pour le compte des mutuelles.
Pour le gestionnaire du tiers payant Viamedis, l’attaque s’est faite par le biais d’un hameçonnage, plus précisément par l’usurpation d’identifiants et mots de passe de professionnels de santé. Ils ont pu employer les données de connexion de …. cinq professionnels de santé, montrant à quel point, l’automatisme tue. Pour l’autre société aucune information n’a été donnée quant à présent sur le mode opératoire du vol.
C’est en tout cas, la première fois que dans un laps de temps très court, deux sociétés opérant dans le même secteur se font voler autant de données. Et même si les informations bancaires, ou numéro de GSM n’ont pas été dérobés, il est certain qu’un croisement va se faire dans les prochaines semaines / mois, afin d’affiner au plus prêt les données. On pourra éventuellement retrouver ces gigas d’informations en vente au plus offrant sur le Dark Web. Mais selon certains spécialistes, tout laisse penser que ces fichiers complétés pourraient finalement servir dans les prochains mois, lors des prochaines élections ayant lieu en France. Un manière de cibler les électeurs.
Conséquences et recommandations
Cette situation sans précédent, où deux sociétés du même secteur sont victimes de vol d’informations dans un court laps de temps, souligne la nécessité de protéger nos données personnelles. Bien que certaines informations n’aient pas été dérobées cette fois-ci, le croisement de données à des fins malveillantes reste une préoccupation majeure.
Comme l’indique la CNIL dans un communiqué, daté du 7 février, “cette fuite de données concerne plus de 33 millions de personnes. Les données concernées sont, pour les assurés et leur famille, l’état civil, la date de naissance et le numéro de sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit”. On ne parle ni du numéro de téléphone et encore moins de l’adresse électronique de l’assuré. De même, comme l’indique le communiqué “les données telles que les informations bancaires, les données médicales, les remboursements santé, les coordonnées postales…. ne seraient pas concernées par la violation.”.
Elle donne donc ces informations au conditionnel, comme si cet organisme n’était pas encore réellement sûr des informations qu’elle aurait collectées auprès des deux gestionnaires. On trouve dans le communiqué, comme à chaque fois, les démarches que doivent effectuer les assurés (voir plus bas). C’est surtout la prudence qui prévaut comme de vérifier périodiquement les activités et mouvements sur les différents comptes.
Alors que faire face à un tel vol, qui je le rappelle est quand même unique en France par le nombre de personnes touchées comme à la valeur des données dérobées ?
Renforcer la sécurité avec la vérification à deux facteurs (2FA)
Il s’agit dans un premier temps de renforcer la sécurité de ses données. Pour cela, l’adoption de la vérification à deux facteurs (2FA) se révèle être une stratégie de sécurité incontournable. La 2FA, en ajoutant une couche supplémentaire d’authentification aux processus de connexion, représente un rempart significatif contre le vol d’identité et les accès non autorisés aux informations sensibles. Ce type de contrôle a assurément pas été le cas dans le cadre de ce vol. En effet, cinq entités professionnelles de la santé, donc cinq organismes différents ont vu leurs identifiants et mots de passe volés. Cela sous entend que le rendement (nombre d’enregistrement) était la principale préoccupation de ces sociétés qui voyait la sécurité au second plan.
Si une telle démarche était prouvée, la culpabilité des organismes seraient assurément reconnu comme fautives. Il s’agirait maintenant de savoir qui entamerait la procédure au civil : l’Etat, les deux sociétés des prestataires de santé, ou pourquoi pas des particuliers ?
Qu’est-ce que la vérification à deux facteurs ?
Comme on vient de voir qu’il s’agit de renforcer la sécurité avec la vérification à deux facteurs, voyons comment s’opère une telle protection.
La 2FA améliore la sécurité en combinant deux des trois éléments suivants :
- quelque chose que vous connaissez (comme un mot de passe),
- quelque chose que vous avez (comme un smartphone),
- et quelque chose que vous êtes (comme une empreinte digitale).
Cette méthode d’authentification exige plus qu’un simple mot de passe, ce qui complique la tâche des cybercriminels.
Pourquoi la 2FA est essentielle pour la sécurité en ligne ?
Elle est essentielle pour trois raisons :
Réduction du risque de cyberattaques : La 2FA met une barrière supplémentaire entre vos informations personnelles et les cybercriminels, réduisant ainsi le risque d’accès non autorisé.
Protection des informations sensibles : Que ce soit pour sécuriser vos comptes bancaires, vos emails ou vos dossiers médicaux, la 2FA joue un rôle crucial dans la protection de vos données contre les violations.
Conformité aux normes de sécurité : De nombreuses réglementations de sécurité exigent maintenant l’utilisation de la 2FA, reconnaissant son efficacité pour protéger les données sensibles.
Mise en place de la 2FA
Activer la 2FA est souvent simple et rapide. La plupart des services en ligne proposent cette fonctionnalité dans leurs paramètres de sécurité. En choisissant d’activer la 2FA, vous faites un pas important vers la sécurisation de vos comptes et de vos informations personnelles contre les menaces numériques.
On peut donc dire, que l’intégration de la vérification à deux facteurs est une étape cruciale dans la sécurisation de vos activités en ligne. En adoptant cette mesure, vous ne faites pas seulement un choix sécuritaire pour vous-même, mais vous contribuez également à l’effort collectif de création d’un espace numérique plus sûr. Dans un monde où les cybermenaces sont omniprésentes, la mise en œuvre de la 2FA n’est pas seulement recommandée, elle est devenue indispensable.
Se prémunir demain de toute attaque
Demain, dans quelques semaines ou quelques mois, assurément les données volées vont être utilisées. Comment ? De manière simple : soit par le biais de courrier électronique car assurément un croisement aura été effectué pour réunir d’autres informations dont l’adresse électronique. A partir de là, vous recevrez un courrier de ce qui semblera émaner de votre mutuelle, ou organisme de santé. On vous signalera par exemple un vol de vos données en vous demandant de les enregistrer de nouveau sur le site de l’organisme. Pas de doute, il s’agit là d’un hameçonnage. Ce type d’opération peut également s’effectuer par un SMS, et là encore en vous demandant de confirmer des données.
Je rappelle le principe : « l’hameçonnage ou phishing est une forme d’escroquerie sur internet. Le fraudeur se fait passer pour un organisme que vous connaissez (banque, service des impôts, CAF, etc.), en utilisant le logo et le nom de cet organisme. Bien sûr le site ou vous êtes renvoyé en cliquant sur le lien proposé est un faux. Il n’est là que pour enregistrer les données que vous tapez« . (source la CNIL)
Le second moyen de vous protéger, est de modifier le plus rapidement possible les identifiants d’accès à votre compte Amélie et autres sites de santé (mutuelle, etc…). C’est le plus important et le plus urgent. Surtout, n’enregistrez pas ces nouveaux codes sur un Post-It ou dans un courrier électronique que vous gardez en brouillon. (j’ai vu le cas !) L’outil de gestion des mots de passe que propose Google Chrome convient très bien. Comme à n’en pas douter, vous utilisez un Chromebook, vos données sont cryptées autant sur le Chromebook qu’autant dans l’espace sécurité de votre compte Gmail.
Bien sûr pour chaque service, il vous faudra employer des identifiants différents. Surtout pas le même pour tous les prestataires de santé que vous utilisez. C’est là que l’emploi de Google Chrome convient très bien. Et comme nous en sommes aux sites, allez régulièrement, et Agenda est là pour vous le rappeler, sur vos différents comptes (Amélie, mutuelle, etc…) afin de vous assurer qu’aucun changement n’a été effectué à votre insu. Cela peut concerner vos informations personnelles, comme une modifications de votre compte bancaire.
Incident majeur de vol de données en France
La protection des données personnelles est plus cruciale que jamais, surtout à l’ère du numérique où les vols d’informations sont monnaie courante. Cet incident rappelle l’importance de la vigilance et de la prudence dans la gestion de nos informations en ligne. Les individus et les entreprises doivent collaborer pour renforcer les mesures de sécurité et prévenir de futures attaques. Adopter des pratiques sécurisées et être conscient des risques est essentiel pour protéger notre vie privée et nos données personnelles.
Si vous faites parti des français ayant vu leurs données dérobé, venez nous expliquer quelles sont les démarches que vous avez effectué auprès de votre organisme de santé ?
La 2FA est un frein pour des personnes (intelligentes, cultivées, haut niveau d’études) qui sont rétives aux logiques « machines » ou rétives à l’ergonomie des sites et pas forcément des personnes agées qui ont aussi du mal.
Nous avons tous qq’un(e) comme ça dans nos familles ou amis (dont une vient d’acquérir un Cbk sur mes conseils).
Enfin, il serait temps de standardiser la 2FA (par SMS) car il m’arrive encore d’attendre un SMS alors que l’authentification se fait par mail. Sans compter, les sites mal codés qui envoient les SMS avec 10 mn de retard.
David
Ce n’est pas une question de mauvais codage, simplement de capacité du serveur de mail, qui peut au moment ou vous demandez une authentification, être déjà à envoyer des courriers électroniques soit d’avertissement à l’hébergeur pour une tentative d’intrusion par un tiers, soit à effectuer un envoi à une mailing-list établie par l’administrateur du site. De même, il peut être demandé que l’envoie du SMS effectue une temporisation entre la demande et l’envoie, permettant de manière automatique de vérifier la position que communique le navigateur web.
Maintenant vous pouvez apporter toute suggestion et idée pour une meilleure standardisation de l’authentification multifacteur, en écrivant à l’ANSI (https://cyber.gouv.fr/) qui fera suivre auprès de l’organisme réunissant différents acteurs de la sécurité.