Notre chroniqueur Mounir Chaabane revient sur le récent vol de données de l’Assurance-maladie et fustige la négligence des développeurs web et les limites des écosystèmes qui ne se régulent pas assez.

Après les laboratoires d’analyses, les centres hospitaliers et les passes sanitaires, c’est au tour de l’Assurance-maladie d’être victime d’une fuite de données. A croire que le numérique de la santé est un espace Open Bar. Le 17 mars 2022, l’Assurance-maladie notifie une fuite de données concernant 510 000 assurés et provenant de « connexions non autorisées au service amelipro ».

A lire aussi : Le CyberScore ne devrait pas confondre cybersécurité et protection des données personnelles

Dans leur majorité, les attaques ciblant les organismes de santé sont assez difficiles et longues à traiter. Dans le cas de l’Assurance-maladie, la notification publiée pose rapidement un diagnostic et donne des éléments précis quant à la faille et le mode opératoire utilisé pour exfiltrer les données. Nous pouvons saluer cette transparence, même si elle démontre un niveau de négligence dans le développement du service amelipro. En pleine crise russo-ukrainienne, on s’en serait passé.

Chronique d’une fuite annoncée

Tout est expliqué dans la notification de l’Assurance-maladie. Les attaquants ont en premier lieu piraté les comptes d’accès au service amelipro de 19 professionnels de santé (comme les pharmacies par exemple). En second lieu, une fois connectés, ils ont interrogé de manière massive la base de données « InfoPatient » en utilisant des listes de numéros de sécurité sociale jusqu’à obtenir les résultats de 510 000 assurés. Les données concernées : « …sont des données d’identité (nom, prénom, date de naissance, sexe), le numéro de sécurité sociale, ainsi que des données relatives aux droits…». Ces données permettent d’identifier les assurés, ce qui va permettre aux attaquants de cibler des escroqueries, communément appelées SpearPhishing (hameçonnage ciblé), ou de tenter d’accéder à d’autres sites en utilisant ces informations.

Pour les experts en cybersécurité, l’explication est assez claire. Elle démontre à la fois le manque de protection des accès à amelipro et à la fois l’absence de protection face à un usage démesuré du service « Infopatient ». Pour les 19 professionnels de santé impliqués, se faire pirater son compte ce n’est pas de chance mais cela peut arriver à n’importe qui. Peut-être via un faux site amelipro ? Ce qui est étonnant, c’est la confiance surestimée de l’Assurance-maladie envers ces professionnels en autorisant l’accès avec un simple identifiant et mot de passe.

Et encore plus étonnant, une fois connectés, la capacité de ces comptes de professionnels d’aspirer les données en masse. 510 000 assurés, ce n’est pas rien pour seulement 19 comptes d’accès. Les pirates ont utilisé une liste de numéro de sécurité sociale avec un algorithme pour vérifier des milliers de fois par seconde les numéros, jusqu’à obtenir des résultats. Cela sous-entend que ces professionnels de santé pouvaient eux-mêmes à tout moment exfiltrer massivement les données des assurés. Nous pouvons aussi supposer que la liste des assurés n’était pas réduite au seul périmètre des professionnels et que des millions d’assurés étaient potentiellement concernés.

Toute chose égale par ailleurs, l’Assurance-maladie a eu de la chance; seulement 19 comptes de professionnels de santé piratés et le vol n’a concerné que des données personnelles administratives. Ce qui évite à l’Assurance-maladie de tomber sous les exigences de clauses RGPD régissant les données de santé. Le constat reste effrayant dans un contexte de santé et de données personnelles.

La négligence d’un artisan, au-delà la variable d’ajustement !

Pour comprendre cette faille, c’est comme si un plombier explique une inondation parce que quelqu’un n’a pas jugé utile de mettre un joint. Ou comme une maison qui prend feu parce qu’on a décidé de s’improviser électricien. Mais qui a développé ce service amelipro et qui le maintien? Des règles d’accès obsolètes, des accès aux données non filtrés et on attend l’incident évident pour réagir. Des décennies de pratiques de sécurité numérique pour en arriver à ouvrir une porte avec une cuillère et le coffre-fort avec une fourchette. Nous sommes au-delà de la « variable d’ajustement » telle qu’exposée en 2021 par le ministre de la santé O. Véran en référence à l’état désastreux de la sécurité numérique des organismes de santé. Les mesures de sécurité ne manquaient pas, mais force est de constater qu’en 2022, la négligence est de mise dans le chantier numérique.

Pour l’artisan-développeur d’applications web, sécuriser un accès est chose banale. De nos jours, les outils sont accessibles, au même titre que dans un magasin de bricolage. Mais comme tous travaux, la qualité a un prix et la sécurité a sa garantie. Dans le cas d’amelipro, autant dire que l’artisan a fait preuve de négligence et qu’il n’est pas sûr qu’il ait une garantie décennale. Une enquête est en cours et cela va certainement donner lieu à des tas de discussion pour savoir qui est responsable. Dans la chaine des concepteurs d’amelipro, on peut s’attendre à une cascade de « c’est pas moi ». Ou pire, « je ne savais pas » ou « je ne suis pas expert en sécurité » et « c’est le boulot d’un autre». Les professionnels du développement numérique n’ont pas l’équivalent d’une Chambre des Métiers pour les artisans et qui permet de contrôler les formations et de garantir la maitrise d’œuvre.

Mais qui va payer pour les dommages subies par les 510 000 personnes ? L’assurance-maladie va devoir payer pour toutes les procédures engagées auprès des usagers et auprès des organisations ayant participés au développement d’amelipro. En comptant aussi le coût des réparations. In fine, la négligence d’un artisan-développeur déclenche une cascade de responsabilités qui dépasse de très loin sa personne et qu’il n’assumera surement pas. Contrairement à un artisan professionnel.