Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

N'importe qui pouvait lire les courriers d'Ameli

L'ANSSI alertée, deux failles corrigées
Internet 7 min
N'importe qui pouvait lire les courriers d'Ameli
Crédits : thodonal/iStock/ThinkStock

Une modification triviale dans l'URL des pièces jointes adressées par l'assurance maladie permettait d'accéder à des courriers adressés à d'autres assurés. Après avoir alerté l'ANSSI en urgence, nous avons contacté Ameli, qui a corrigé la faille. Cherchant à le vérifier, nous avons alors découvert une seconde fuite de données...

Un lecteur de Next INpact nous a alerté fin novembre au sujet d'une faille de sécurité affectant la messagerie d'ameli.fr, le portail de Caisse nationale de l'Assurance Maladie (CNAM).

Refroidi par l'affaire Bluetouff, qui avait été condamné pour piratage informatique après avoir découvert des fichiers de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES) dans des répertoires non protégés, il n'osait pas contacter Ameli pour leur notifier la brèche.

Le mode opératoire ? Simplissime : il suffisait de modifier le numéro identifiant les fichiers PDF adressés en pièce jointe pour accéder à des courriers adressés à d'autres assurés.

S'il n'était pas possible de cibler un individu en particulier, nous n'en avons pas moins pu, de la sorte, accéder aux noms, prénoms, adresses, n° de sécurité sociale, demandes de documents et de renseignements, attestations de prise en charge ou de refus de soin (au motif que « le bénéficiaire du soin s'est déplacé sur le territoire suisse pour se faire soigner »), parfois accompagnées de pièces jointes (arrêt de travail, notamment) de plusieurs autres assurés.

ameli

Faute de pouvoir trouver un moyen de contacter en urgence l'assurance-maladie en plein week-end, nous avons profité de la disposition introduite par la loi pour une République numérique en 2016 pour alerter l'ANSSI de cette vulnérabilité, sans (trop) risquer d'être accusé d'avoir compromis Ameli.

Pas d'impunité pénale

Son article 47 avait en effet modifié le code de la défense pour y préciser qu'« une personne de bonne foi qui transmet à la seule autorité nationale de sécurité des systèmes d’information une information sur l’existence d’une vulnérabilité concernant la sécurité d’un système de traitement automatisé de données » ne saurait être dénoncée au procureur de la République.

Ainsi, plus exactement, cette disposition empêche l'ANSSI d'avoir à dénoncer automatiquement les faits de piratage informatique – ou d'atteintes à un système de traitement automatisé de données (ou STAD), dans le jargon – mais sans introduire d'immunité pénale (voir Signalements des failles : à l’ANSSI, pas de raz-de-marée après la loi Lemaire).

Dit autrement, le chercheur qui viendrait à sonner à la porte de l'agence pourrait toujours être attaqué par le propriétaire du système faillible, quand bien même celui-ci serait en délicatesse sur le terrain du RGPD et sa sacro-sainte obligation de sécurité (voir Le RGPD expliqué ligne par ligne (articles 1 à 23)).

En l'espèce, la politique de protection des données personnelles de la CNAM précise bien que « des politiques de protection des systèmes d’information (PSSI) sont mises en œuvre. Toutes les précautions utiles sont prises pour assurer la sécurité et la confidentialité de vos données personnelles, notamment pour empêcher leur perte, altération, destruction ou utilisation par des tiers non autorisés ».

Nous aurions aimé en savoir plus

Le lundi suivant, le service de presse d'Ameli, que nous avions contacté dans la foulée, accusait réception de notre alerte et précisait qu'il reviendrait vers nous « dès que possible ». L'après-midi, la faille était encore exploitable.

Nous voulions en savoir plus sur l'historique de cette faille de sécurité, si elle avait été exploitée, mais également pourquoi et comment une faille aussi triviale avait pu être possible, ce qui avait été entrepris pour la colmater, et éviter qu'un tel incident ne se reproduise, si l'incident avait été déclaré à la CNIL, et de quand datait le dernier audit de sécurité.

Quatre jours plus tard, le service de presse d'ameli nous répondait laconiquement que « la situation que vous avez bien voulu nous signaler avait bien été identifiée par nos équipes de sécurité et corrigée depuis, pour bloquer toute récupération aléatoire de correspondance depuis l’espace personnel du compte ameli. Nous avons également veillé à informer la Cnil à ce sujet ».

Pour autant, et « afin de protéger les dispositions que nous prenons pour assurer la sécurité des données personnelles, vous comprendrez que nous ne pouvons divulguer aucune information concernant les modalités de nos audits de sécurité, tant sur leur périmètre que sur leur périodicité ».

Une deuxième fuite de données, découverte dans la foulée

Désormais, les URL modifiées renvoient à une page d'erreur intitulée « Visualisation de fichier » précisant « Service indisponible », page que Google avait archivée le mercredi précédent à 2h du matin. Il ne nous a pas été possible de savoir ni depuis quand la faille existait, ni quand elle avait été corrigée.

ameli

Ce faisant, cherchant à vérifier quelles autres pages étaient archivées par Google, nous avons découvert une dizaine d'autres pages personnalisées de confirmation d'inscription affichant les noms et prénoms d'assurés. 

ameli

S'il est quelque peu étonnant de voir de telles pages archivées par Google, elles ne permettaient pas d'obtenir d'autres données personnelles, contrairement à la première faille. La plus vieille page avait été archivée le 15 septembre, la plus récente ce dimanche 8 décembre, et donc après que le premier problème ait été corrigé. 

ameli

ameli

Et sans que l'on comprenne pourquoi Google n'aurait archivé que 11 pages seulement, sinon que le fichier robots.txt, censé préciser aux robots ce qu'il est permis (ou interdit) d'indexer, n'existait pas et affichait un gros (et gras) « Action Interdite », Ameli laissant donc n'importe quel robot indexer n'importe quelle page.

ameli

De nouveau contactée, la CNAM nous répond, une semaine plus tard, que les deux problèmes « sont bien d’origine et de nature différentes. Concernant la seconde, son impact est moindre, dans la mesure où l’indexation des pages ainsi affichées ne permet pas l’accès à des courriers d’un tiers. Nous avons réalisé les correctifs nécessaires et demandé à Google la suppression des pages qui avaient été ainsi référencées ».

Pour autant, et une semaine après l'avoir alertée à ce sujet, il était toujours possible de consulter les pages en question via le cache de Google, mais aussi et surtout directement sur ameli.fr. Et nous avons également découvert que certaines d'entre-elles avaient depuis été réarchivées par Google, la dernière l'ayant été le dimanche 15 décembre, veille de la réponse d'Ameli.

ameli

En l'espèce, le fichier robots.txt n'avait toujours pas été corrigé, ce dimanche 15 décembre, et continuait d'afficher « Action interdite ». Il n'a été modifié que ce lundi 16, pour n'autoriser les crawlers des moteurs à n'indexer que la seule « page requise, soit page d’accueil au compte ameli, et uniquement celle-ci », nous répond l'assurance maladie.

La CNAM précise que « nos services juridiques ont bien demandé à Google la suppression des liens de confirmation d’ouverture/fermeture de comptes ainsi archivés, demande qui n’a pas encore abouti et que nous continuons de suivre auprès des services de Google. Par ailleurs, il nous reste une amélioration à apporter au niveau du processus de validation des emails des assurés qui créent un compte personnel sur Ameli pour éviter que ces quelques indexations ne se reproduisent : ce sera fait courant janvier. Cependant, il convient de souligner que les quelques liens ainsi référencés ne permettent pas d’accéder aux espaces personnels des assurés ; en effet, en cliquant sur les deux liens présents dans l’email de confirmation, ils renvoient vers la page d’accueil et nécessitent de nouveau, la saisie des identifiants et des mots de passe des assurés sociaux concernés ». 

« Nous continuerons de tout mettre en œuvre pour protéger la sécurité des données de nos différents publics (assurés, professionnels de santé et employeurs) », conclut l'assurance maladie, sans expliquer cela dit ce pourquoi le problème avait ainsi pu perdurer plusieurs mois.

Si vous voulez témoigner ou me contacter de façon sécurisée (voire anonyme), le mode d'emploi se trouve par là.

74 commentaires
Avatar de Corpo Abonné
Avatar de CorpoCorpo- 18/12/19 à 14:58:02

Et dire qu'un prestataire à du être payé grassement pour réaliser ce site ... le copinage et l'amateurisme ont leurs limites !

Avatar de hellmut Abonné
Avatar de hellmuthellmut- 18/12/19 à 15:08:10

tu penses que ça va mordre? :transpi:

Avatar de le hollandais volant Abonné
Avatar de le hollandais volantle hollandais volant- 18/12/19 à 15:10:20

A une époque, Manpower, la boîte d'intérim avait exactement le même problème. J'avais cherché à les contacter, mais sans page de contact, c'était difficile. J'avais laissé tomber. Aujourd'hui la faille semble corrigée.

Pour en revenir, une chose n'est pas claire : un "chercheur" qui signale la faille peut être poursuivi ou pas du coup ? Et selon quels chefs d'accusation il peut l'être et quels il ne peut pas ?

Parce que bon... Entre les affaires Bluetouff, Zataz et d'autres (SNCF...), signaler des failles est risquée. Ça serait bien d'être au courant de ce qu'on risque.

Avatar de hellmut Abonné
Avatar de hellmuthellmut- 18/12/19 à 15:14:08

s'il passe par l'ANSSI à priori non, s'il est de bonne foi.
ici en l'occurrence ça passe, car c'est une faille détectable facilement. si tu arrives avec un truc sophistiqué, c'est que tu as sans doute fouillé un peu, et c'est interdit (je dis pas que c'est bien).

Avatar de Groupetto Abonné
Avatar de GroupettoGroupetto- 18/12/19 à 15:17:17

Il ne s'agit même pas d'une faille : on laisse la porte ouverte (et la fenêtre avec), en espérant que ça ne se voit pas...ou alors tout le monde s'en branle, en fait. C'est sans doute l'option la plus probable.

Est-ce qu'il peut y avoir des conséquences légales, pour la CNAM et / ou les prestataires? Sinon, je vois pas comment ça pourrait aller mieux à l'avenir...

(quand on voit que l'Etat se lance dans la collecte de données biométriques, ça fait vraiment froid dans le dos)

Avatar de XMalek INpactien
Avatar de XMalekXMalek- 18/12/19 à 15:18:59

Eh beh une belle brochette d'incompétents.

 Ce genre de truc ne devrait même pas être envisageable pour quelquechose d'aussi critique, c'est à se demander s'ils ont une team sécurité chez ameli (parce que des failles y en a d'autres, et j'ose même pas imaginer à quel point ils ne sont pas "gdpr" en interne. Pare que si ce genre d'url est dispo en externe ca veut dire que ce genre de manip est aussi dispo en interne et potentiellement pas loggué.

Avatar de Nozalys Abonné
Avatar de NozalysNozalys- 18/12/19 à 15:21:14

hellmut a écrit :

s'il passe par l'ANSSI à priori non, s'il est de bonne foi.
ici en l'occurrence ça passe, car c'est une faille détectable facilement. si tu arrives avec un truc sophistiqué, c'est que tu as sans doute fouillé un peu, et c'est interdit (je dis pas que c'est bien).

"à priori" est de trop dans ta réponse. Donc on ne sait pas en fait. Soit on peut être poursuivi, soit on peut pas. Que le processus soit sophistiqué ou pas n'y change rien, juridiquement "sophistiqué" n'a pas de valeur me semble-t-il. Ce que tu considère comme trivial pour toi, est peut-être de l'ordre du mysticisme pour le Français moyen qui confond "informatique" avec "iPad", "Internet" avec "Facebook" ou encore "Internet" avec "Orange" ou "Bouygues".
En l’occurrence si tu es passionné, informé et bien doué dans ce domaine, tu peux "fouiner" des choses à ton niveau qui relèvent déjà de méthodes sophistiquées. Et si tu trouve une faille et que tu la signale à l'ANSSI, c'est que tu œuvre pour la collectivité, tu ne devrais rien craindre.

Avatar de Arkeen Abonné
Avatar de ArkeenArkeen- 18/12/19 à 15:27:57

Nozalys a écrit :

Et si tu trouve une faille et que tu la signale à l'ANSSI, c'est que tu œuvre pour la collectivité, tu ne devrais rien craindre. 

Le conditionnel est de trop dans ta réponse. Donc on ne sait pas en fait. Soit on a quelque chose à craindre, soit on a rien à craindre.

Édité par Arkeen le 18/12/2019 à 15:28
Avatar de Krogoth Abonné
Avatar de KrogothKrogoth- 18/12/19 à 15:32:57

Au final le plus sur c'est comme l'a fait l'inventeur de cette faille....signaler le problème à la presse qui ferra suivre. La presse bénéficiant de protection supplémentaire permettant de se protéger ainsi que l'inventeur ou de savoir les limites...

Mais cette situation n'est pas normale.

Avatar de tiret Abonné
Avatar de tirettiret- 18/12/19 à 15:33:01

Dans un certain nombre de boîtes très politiques chacun doit montrer qu'il travaille à la direction à grands coups de mails et autres.

Dès lors le boulot des équipes sécurité n'est plus de sécuriser les postes ou les infra mais d'emm... ceux qui bossent, car au moins comme ça ils montrent qu'ils travaillent. Après on peut toujours trouver une justification pour bloquer tel ou tel truc. Mais pendant ce temps le vrai travail de sécurité comme s'assurer que les patch de sécurité sont appliqués n'est pas fait...

Il n'est plus possible de commenter cette actualité.
Page 1 / 8
  • Introduction
  • Pas d'impunité pénale
  • Nous aurions aimé en savoir plus
  • Une deuxième fuite de données, découverte dans la foulée
S'abonner à partir de 3,75 €