N'importe qui pouvait lire les courriers d'Ameli

Une modification triviale dansl'URL des pièces jointes adressées par l'assurance maladie permettait d'accéder àdes courriers adressés à d'autres assurés. Après avoir alerté l'ANSSI en urgence, nous avons contacté Ameli, qui a corrigé la faille. Cherchant à le vérifier, nous avons alors découvert une seconde fuite de données…

Un lecteur de Next Inpact nous a alerté fin novembre au sujet d'une faille de sécurité affectant la messagerie d'ameli.fr, le portail de Caisse nationiale de l'Assurance Maladie (CNAM). Refroidi par l'affaire Bluetouff, qui avait été condamné pour piratage informatique après avoir découvert des fichiers de l'Agence nationale de sécurité sanitaire de l'alimentation, de l'environnement et du travail (ANSES) dans des répertoires non protégés, il n'osait pas contacter Ameli pour leur notifier la brèche.

Le mode opératoire ? Simplissime : il suffisait de modifier le numéro identifiant les fichiers PDF adressés en pièce jointe pour accéderà des courriers adressés à d'autres assurés.

S'il n'était pas possible de cibler un individu en particulier, nous n'en avons pas moins pu, de la sorte, accéder aux noms, prénoms, adresses, n° de sécurité sociale, demandes de documents et de renseignements, attestations de prise en charge ou de refus de soin (au motif que « le bénéficiaire du soin s'est déplacé sur le territoire suisse pour se faire soigner »), parfois accompagnées de pièces jointes (arrêt de travail, notamment) de plusieurs autres assurés.