En fin de semaine dernière, l’Assurance Maladie a détecté que des personnes non autorisées ont réussi à se connecter à des comptes amelipro, réservés aux professionnels de santé.

Il ressort des premières analyses que les attaquants ont pu se connecter à des comptes dont les adresses e-mail avaient été compromises (19 comptes de professionnels de santé ont été identifiés).

Via ces connections, les attaquants ont procédé à des interrogations « en chaîne », avec l’utilisation d’un robot, d’un service dénommé « Infopatient » donnant accès à partir de numéros de sécurité sociale à certaines informations administratives d’assurés. Les données concernées sont les données d’identité (nom, prénom, date de naissance, sexe), numéro de sécurité sociale, ainsi que des données relatives aux droits (déclaration d’un médecin traitant, attribution de la complémentaire santé solidaire ou de l’aide médicale d’Etat, éventuelle prise en charge à 100%). Les coordonnées de contact (email, adresse, téléphone) et coordonnées bancaires, ainsi que les données relatives aux éventuelles pathologies / maladies et à la consommation de soins, ne sont pas concernées.

Dès l’identification de l’attaque et des comptes à l’origine de ces sollicitations anormales du service Infopatient, les adresses IP concernées ont été bannies et les comptes des professionnels de santé réinitialisés. De plus, l’Assurance Maladie continue de surveiller les éventuelles anomalies d’identification aux téléservices du portail amelipro.

En l’état des investigations, qui se poursuivent, 510 000 assurés sont concernés par cette fuite de données. Ceux-ci seront informés individuellement de cet incident et sensibilisés au risque accru de hameçonnage dont ils pourraient faire l’objet.

Une information est également prévue à destination des professionnels de santé afin de les inviter à renforcer la sécurisation de leur compte amelipro.

L’Assurance Maladie a adressé une notification à la CNIL le 16 mars 2022 et dépose ce jour une plainte pénale.