Assurance maladie : une faille permettait d’accéder aux courriers personnels des assurés

Le site de l’Assurance Maladie, Ameli.fr, était victime d’une faille de sécurité embarrassante. Grâce à cette brèche, n’importe quel assuré pouvait accéder aux messages personnels d’autres assurés en modifiant simplement un chiffre dans l’URL. Ces messages contiennent de nombreuses données personnelles, comme des noms, prénoms, adresses ou encore des numéros de sécurité sociale. La faille a été « immédiatement corrigée ».

Une faille de sécurité importante a été repérée le jeudi 19 décembre 2019 sur Ameli.fr, le portail en ligne de la Caisse nationale de l’Assurance Maladie (CPAM). C’est en tout cas que ce nous révèlent nos confrères du site spécialisé NextInpact, qui ont été alertés par un lecteur averti. Cette brèche permettait vraisemblablement à n’importe quel assuré de pouvoir accéder aux messages personnels d’autres assurés, en modifiant simplement un chiffre dans l’URL.

Il s’avère que les messages à destination des assurés sont stockés en format PDF sur leur espace personnel du site Ameli.fr. De fait, en modifiant un chiffre dans l’URL, il était possible de tomber sur les correspondances de n’importe quel assuré au hasard. Or, ces messages contiennent un bon nombre de données personnelles : nom, prénom, adresse mail et du domicile, numéros de sécurité sociale, les différentes demandes de renseignements, de prise en charge, les refus de soins, etc.

À lire également : La carte vitale débarque sur smartphone dès 2021

« La sécurité est pleinement assurée »
Selon NextInpact, « il n’était pas possible de cibler un individu en particulier ». Les journalistes ont tout de même essayé de profiter cette faille, et ils ont effectivement pu se procurer les messages personnels d’autres assurés en changeant simplement un numéro dans l’URL. « Cette anomalie identifiée a été immédiatement corrigée et la sécurité des courriers sur le compte Ameli est aujourd’hui pleinement assurée », assurait justement Ameli à nos confrères du journal Le Monde.

D’après le portail en ligne de la CPAM, personne n’aurait exploitée cette faille hormis les journalistes de NextInpact et leur lecteur averti. Cette situation aurait rapidement pu devenir explosive, étant donné la sensibilité des données disponibles en libre-service. Néanmoins, Ameli.fr affirme que « la nature administrative des informations contenues dans ces pièces limitait fortement l’impact, les courriers envoyés par les caisses primaires aux assurés ne contenant pas d’information personnelle médicale ».

Ce n’est pas la première fois que le site Ameli.fr ou plus largement la CPAM sont victimes de problèmes informatiques ou de cyberattaques. En juin 2018, une vaste campagne de phishing avec de faux mails de l’Assurance Maladie avait contraint l’organisme à réagir et à prévenir tous les assurés du danger. Les pirates promettaient des remboursements de plusieurs centaines d’euros.