Jeudi 23 juin, le site Zataz signalait ainsi avoir repéré une offre proposant une archive contenant les identifiants et mots de passe d’un million d’utilisateurs du site Ameli.fr, le service en ligne de l’assurance maladie. Soit un million de numéros de sécurité sociale associés à des mots de passe, le service Ameli.fr utilisant ces numéros comme identifiants de connexion.
Un fichier plus que douteux
Mais l’offre est douteuse à plus d’un titre. Tout d’abord le vendeur de l’archive ne propose aucun échantillon permettant de prouver l’authenticité et la validité des données, ni d’explication sur l’origine des ces identifiants. L’offre se contente d’afficher un prix, 6000 dollars, mais le vendeur ne donne pas plus de précisions sur son offre, se contentant de promettre que les données sont récentes.
De plus, l’assurance maladie indique n’avoir constaté aucune fuite de données de son côté. Interrogée, l’organisme écarte cette hypothèse : « Ainsi, s’il n’est pas possible d’établir formellement la source de cette liste – si celle-ci existe, il est néanmoins possible d’affirmer qu’elle ne provient pas d’une nouvelle attaque à l’encontre de l’Assurance Maladie. L’Assurance Maladie n’a pas constaté de vol dans ses systèmes de données d’identifiants de connexion au compte Ameli. »
L’assurance maladie indique également ne pas être en mesure de savoir si les numéros dérobés lors de la fuite de mars dernier sont compris dans l’archive proposée par le cybercriminel.
Reste une dernière théorie pour expliquer l’origine des données vendues : des données accumulées par de multiples opérations d’hameçonnage visant les internautes. « Si un pirate est parvenu à obtenir des logins et mots de passe comme l’affirme le site Zataz, cela peut s’expliquer par le fait qu’il a probablement réussi à tromper la vigilance d’assurés pour les obtenir », résume la CNAM.
Mais comme le remarquait déjà Zataz dans son article, cette piste explique difficilement le nombre de comptes annoncés par le vendeur : parvenir à tromper un si grand nombre d’utilisateurs et réunir dans une seule archive l’ensemble des n° de sécurité sociale et les mots de passe associés paraît étonnant. Le vendeur refusant de donner plus de détails sur l’origine de l’archive ou d’éventuels échantillons permettant d’en vérifier l’authenticité, il est donc tout à fait probable que l’offre ne soit qu’une simple escroquerie de plus sur un marché des données volées coutumier du fait.
Le phishing a le vent en poupe
De nombreuses campagnes de phishing visant l’accès au compte Ameli ont néanmoins été constatées par l’Assurance Maladie dans une période récente, « des personnes malveillantes cherchant à obtenir directement des assurés leurs identifiants et mots de passe de connexion » indique la communication. Certains internautes signalent des tentatives de phishing : les escrocs en possession d’un n° de sécurité valide déclenchent le processus de réinitialisation du mot de passe puis appellent la victime au téléphone en se faisant passer pour l’Assurance maladie afin d’obtenir le mot de passe à usage unique envoyé sur la boîte mail de la victime. Ce mot de passe à usage unique est ensuite utilisé pour accéder au compte Ameli de l’utilisateur.
Face à cette campagne de phishing, l’Assurance maladie explique avoir mis en place une série de mesure visant à alerter les usagers des risques liés à ce type de phishing. L’organisme explique ainsi avoir renforcé les campagnes de sensibilisation à l’intention des assurés, ainsi que la mise en place d’un email automatique envoyé à chaque connexion sur le compte afin de permettre à l’utilisateur de vérifier qu’aucun tiers n’accède au compte à son insu.
De nombreuses fuites de données de santé ont été signalées au cours des derniers mois, dont certaines ont pu tomber entre les mains de personnes malveillantes les utilisant pour des escroqueries. Au mois de mars, l’Assurance maladie a ainsi signalé une fuite de données ayant permis à des attaquants de consulter les données de santé d’environ 510 000 assurés. Mais l’assurance maladie n’est pas le seul organisme détenant des n° de sécurité sociale : la fuite de données ayant visé l’APHP au mois de septembre 2021 contenait également les n° de sécurité sociale d’environ 1,4 million de résidents en île de France, tout comme la fuite de donnée ayant affecté plusieurs laboratoires en début d’année 2021.