Le 23 février, Libération braquait les projecteurs médiatiques sur un incident de sécurité rare. Des malfaiteurs avaient publié gratuitement un fichier de près de 500 000 numéros de sécurité sociale français. Chacun de ces numéros est attaché à l’identité d’une personne, et à tout un lot d’informations personnelles sur elle.
Les données de la fuite proviennent de 27 laboratoires médicaux différents. Leur point commun ? L’utilisation du même logiciel de saisie des données médicales. À ce stade de l’enquête, les autorités suspectent l’éditeur de ce logiciel d’être — contre sa volonté — la porte d’entrée des hackers. On ne sait pas exactement comment le fichier a été constitué, mais il s’échange désormais massivement à la fois dans les milieux cybercriminels et dans ceux de la cybersécurité.
La fuite de données s’est rapidement échangée sur plusieurs plateformes. // Source : CCO/Flickr
Dans les jours suivant la médiatisation de la fuite, de nombreux Français ont cherché à savoir s’ils faisaient partie de la fuite. Des outils bricolé par un particulier et une entreprise ont vu le jour, mais ils ont rapidement été déconseillés par la Cnil. Pourtant, ils n’indiquaient aux personnes qu’une seule information : si oui ou non elle faisait partie de la fuite, sans plus de détail.
Peu après la publication des outils, Bruno*, développeur de métier, a contacté Cyberguerre. En utilisant l’un d’entre eux, il venait d’apprendre que ses données et celles de sa compagne Isabelle* faisaient partie de la fuite, une information que nous avons pu confirmer. Immédiatement, le couple a fait le lien avec un étrange incident, survenu un mois avant les articles sur la fuite, fin janvier.
« Le lien entre cet événement et la fuite de données n’est qu’une supposition de ma part, mais à défaut, cette aventure montre ce qu’on peut faire facilement avec ces données », nous écrit-il, bien conscient de la difficulté à démontrer que la relation entre les deux incidents est plus qu’une simple corrélation. Preuves à l’appui, et avec son consentement, il nous a raconté la mésaventure vécue par sa conjointe.
Du vol du numéro de sécu à une arnaque au compte formation ?
Le 27 janvier à 23h11, Isabelle reçoit un email de notification de FranceConnect. Bizarre : FranceConnect est un outil qui permet de se connecter à un site administratif avec les identifiants d’un autre — par exemple, se connecter au site d’Ameli avec les identifiants des impôts. Or, Isabelle ne s’en était pas servi.
La notification fait alors office d’alerte : elle indique que quelqu’un vient de se connecter au site du compte personnel de formation (CPF), avec ses identifiants Ameli. Non seulement le compte d’Isabelle auprès de l’Assurance Maladie aurait été compromis, mais en plus, l’intrus s’en serait servi pour rebondir sur le site du CPF.
Pour s’identifier sur Ameli, le malfrat devait avoir en main le numéro de sécurité sociale de sa victime ainsi que le mot de passe qu’elle avait défini. La première information peut avoir été obtenue dans la fuite, la seconde aurait été récupérée autre part.
Isabelle a reçu une notification de France Connect, noyée au milieu de milliers d’emails de spam. // Source : Remerciements Bruno.
« Nous ne sommes pas infaillibles, mais nous faisons très attention au phishing, et nous étions certains qu’elle n’avait pas communiqué son numéro de sécurité sociale », précise Bruno. Isabelle avait fait des tests dans le laboratoire breton Océalab, dont les patients sont nombreux dans le fichier. Le 5 mars, elle a reçu une lettre « confidentielle » du laboratoire, comme annoncé par la Cnil, pour l’avertir que ses informations font partie de la fuite.
Après cette notification de FranceConnect, le couple reçoit « plusieurs milliers d’emails » sur la même adresse dans les minutes suivantes. « Probablement pour noyer cet email important », suggère Bruno. Ils réagissent rapidement, et parviennent finalement à récupérer le compte « vers 1h du matin ». Ils ont pour cela réinitialisé le mot de passe du compte Ameli, qui était encore lié à l’adresse email d’Isabelle, contrairement au compte formation. Grâce aux identifiants du compte Ameli, ils ont pu utiliser FranceConnect pour reprendre la main sur le CPF.
« J’ai vraiment paniqué », nous confie Bruno. Grâce à la mainmise sur les identifiants du compte Ameli de sa compagne, l’intrus aurait pu se connecter à pratiquement tous les sites des services publics et accéder à des dizaines de dossiers confidentiels. Mais en trouvant une parade à l’intrusion à temps, le couple est parvenu à réinitialiser les mots de passe et à fermer l’accès au hacker.
Vous avez subi une mésaventure similaire et vous voudriez la raconter ? Contactez-nous à [email protected]
Le compte personnel de formation est un dispositif de formation continue à destination des salariés du secteur privé. En fonction du nombre d’heures travaillées par an, le compte est crédité d’une somme correspondant à un certain nombre d’heures de formation. Autrement dit, tous les salariés du privé ont un CPF, sans avoir de démarche à faire, et donc pour certains, sans même le savoir. Ils ont la possibilité d’utiliser cette enveloppe d’argent à tout moment pour s’inscrire à une formation parmi un très large choix. Le dispositif rencontre un certain succès, et attire régulièrement les arnaques aux fausses formations.
Une fois sur le compte d’Isabelle, l’intrus a modifié le mot de passe et l’adresse email de contact. Ensuite, il a déposé une demande d’inscription à une formation « progression à l’Anglais écrit & oral accéléré (Certification TOEIC) ». Prix à payer ? 1 750€, une somme dont elle disposait sur son compte formation. L’intrus ne s’était pas inscrit sous l’identité de sa victime, mais avec un faux nom, et des faux adresse, adresse email et numéro de téléphone. Isabelle est finalement parvenue à annuler la demande d’inscription avant qu’elle ne soit acceptée et débitée.
« Alerte à la fraude ! »
« À l’époque, nous avons essayé de déposer plainte et d’alerter les services concernés. Mais pour la police nous n’avons pas eu de préjudice, donc pas de plainte, et quant à Mon Compte Formation et France Connect, nous avons eu très peu de réactions de leur part », précise Bruno. On peut supposer que la personne qui s’est inscrite à la formation et l’organisme de formation sont de mèche, dans un montage financier profitable pour les deux.
Désormais, sur le site du CPF, une bannière d’avertissement s’affiche en haut de page : « Alerte à la fraude ! Pour éviter d’être piraté, ne communiquez jamais vos identifiants (numéro de sécurité sociale ou mot de passe). Vous devez rester seul à accéder à votre compte ! Dans le cas contraire, vos droits à formation pourraient être piratés ! » Un avertissement malheureusement insuffisant lorsque la personne n’a pas le contrôle sur la fuite de son numéro de sécurité sociale.
Dans la mésaventure d’Isabelle, une inconnue reste : comment l’intrus a-t-il obtenu le mot de passe de son compte Ameli ? Et d’ailleurs, est-ce que la fuite du numéro de sécurité sociale provient bien du fichier récent, et non d’un autre biais ? Dans tous les cas, les numéros de sécurité sociale du couple sont désormais largement accessible aux malfaiteurs. Et comme nous vous l’expliquions, c’est un véritable calvaire.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
