Un Français a reçu de la part de l'Assurance Maladie trois courriers qui ne lui étaient pas destinés, qui contenaient des informations sensibles sur d'autres personnes. L'Assurance Maladie affirme qu'il s'agit d'une erreur isolée, et annonce qu'elle développe un moyen technologique pour éviter ce genre d'incident à l'avenir. Le fait qu'une telle erreur puisse avoir lieu montre, en elle-même, une défaillance dans le processus d'accompagnement des personnes testées positives au coronavirus.

Le 14 septembre, Antoine a contacté Numerama pour signaler une étonnante fuite de données personnelles, en provenance de l’Assurance Maladie. Il venait de recevoir sur son espace sécurisé Ameli un document PDF qui contenait quatre courriers identiques. Le premier lui était adressé, mais pas les trois suivants.

Sur chacun d’entre eux figurait le prénom, le nom, l’adresse, le numéro de sécurité sociale d’une personne qu’il ne connaissait pas. Pire, ces courriers signifiaient que les trois inconnus étaient, comme Antoine, positifs à la Covid-19.

Comment ces données de santé à caractère personnel ont-elles pu être partagées aussi « facilement » à un Français ?

Le courrier, reçu après avoir été déclaré positif à Covid-19, contient le prénom, le nom, l’adresse et le numéro de sécurité sociale de l’assuré. Antoine en a reçu trois qui ne lui étaient pas destinés // Source : Capture d’écran Numerama

L’Assurance Maladie a réagi dans les 5 minutes qui ont suivi notre email d’alerte, puis a lancé une enquête interne à l’aide des informations communiquées par notre source. Dès le lendemain, elle nous a fait parvenir ses conclusions, qui s’avèrent rassurantes :  «  L’incident n’est pas dû à une faille de la sécurité informatique du compte amélie ou du système informatique de l’Assurance Maladie, mais à une manipulation inappropriée d’un agent lors du chargement du courrier destiné à l’assuré. Il ne s’agit en aucun cas d’un problème généralisé ou fréquent. »

L’institution ajoute qu’elle contactera les trois personnes dont les données ont été divulguées, ce qu’elle n’avait pas pu faire avant, car elle ne s’était pas aperçue de l’erreur : «  Votre signalement nous conduit naturellement à mettre en œuvre l’ensemble des obligations prévues par le Règlement général sur la protection des données dans l’intérêt de la protection des droits des personnes concernées. » Le RGPD prévoit une notification à l’autorité des données, la Cnil, et une communication auprès de chaque personne concernée.

Problème au bout de la campagne de dépistage Covid-19

Pour comprendre pleinement la situation qui a mené à cette erreur, il faut rembobiner quelques jours plus tôt. Par mesure de prévention,  Antoine effectue un test PCR en laboratoire, car il a été en contact avec plusieurs personnes positives à la Covid-19.

Son résultat s’avère également positif : Antoine a la Covid-19. Il reçoit peu après un appel de l’Assurance Maladie, ou plus exactement, de la « brigade Covid », comme prévu dans la procédure de traçage des contacts. Un opérateur lui rappelle la conduite à tenir et lui pose des questions pour cibler les cas contacts, c’est-à-dire les personnes qu’Antoine a côtoyées pendant les 7 jours précédant le test.

Moins de deux jours plus tard, il reçoit un email l’invitant à consulter son espace Ameli. Il y trouve le courrier en format PDF, intitulé «  Campagne de dépistage Covid-19 ». Son « conseiller Assurance Maladie » le remercie pour l’entretien téléphonique, et lui rappelle à nouveau les consignes : port du masque et respect de la période d’isolement préconisée par le médecin. Il s’agit donc un simple courrier de rappel, qui indique le numéro de la brigade au cas où la personne malade voudrait signaler un autre cas contact. C’est à la suite de cette lettre que les courriers identiques de trois autres personnes habitant dans la même région qu’Antoine ont été collés.

Empêcher l’éventualité d’une (dangereuse) erreur humaine

L’incident, isolé, serait anecdotique si les données communiquées par erreur n’étaient pas aussi sensibles. Heureusement, elles ont atterri dans les mains d’une personne honnête. Mais le numéro de sécurité sociale et la positivité au Covid-19 sont deux informations que des cybercriminels un soit peu créatifs exploiteraient facilement. Par exemple, ils pourraient utiliser ces deux informations pour envoyer un email de phishing, dans lequel ils se feraient passer pour l’Assurance Maladie. Avec deux données aussi précises, ils n’auraient aucun mal à obtenir la confiance de leur cible, et à la faire cliquer sur un document qui contiendrait un malware, ou à lui extorquer d’autres informations sensibles.

Il s’agit d’une information si importante que des personnes mal intentionnées pourraient également être amenées à piéger, même hors ligne, les trois autres personnes, par exemple en appelant leur employeur ou en leur faisant du chantage.

Vu la sensibilité des données qui sont manipulées, la simple éventualité que l’erreur d’une seule personne puisse aboutir à ce genre d’incident ne devrait pas exister. Ici, un opérateur a probablement oublié d’ouvrir un fichier PDF différent pour chaque courrier, et les a à tort regroupés, sans s’en rendre compte. Cela signifierait que ce processus d’envoi d’email n’est pas automatisé, alors que le document est le même pour tous — il pourrait donc s’agir d’une procédure technique assez simple à mettre en place pour limiter les risques d’une erreur humaine.

L’Assurance Maladie veut s’assurer que l’incident ne se reproduira pas

Un processus de vérification plus exigeant permettrait d’éviter la répétition de ce genre d’erreur. Et justement, l’Assurance Maladie confirme à Numerama qu’elle travaille à l’améliorer : « L’éventualité d’un tel incident a déjà été identifiée. Pour y remédier, une solution technique est en cours de développement afin que ce type d’anomalie ne se reproduise plus. »

Si l’institution respecte son engagement, l’incident d’Antoine restera anecdotique, et aura simplement servi de piqûre de rappel. Sinon, il pourrait se reproduire dans les mois à venir, alors que le nombre de cas de Covid-19 explose, et que la masse de travail des opérateurs chargés d’effectuer le traçage des contacts s’alourdit.

Crédit photo de la une : Montage Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux