Selon le site spécialisé Nextinpact, deux failles de sécurité ont été constatées sur le site de l’Assurance Maladie Ameli.fr le 18 décembre dernier.
Un accès facile aux données personnelles des assurés
Les messages à destination des assurés sur le site Ameli.fr sont stockés au format PDF sur leur espace personnel. Pourtant, ceux-ci contiennent des données confidentielles notamment le nom ainsi que le prénom, l’adresse mail et de domicile, les numéros de sécurité sociale, les différentes demandes de renseignements, de prise en charge, et même les refus de soins. Certains courriers contiennent également des pièces jointes concernant les arrêts de travail. Par ailleurs, les journalistes de Nextinpact confirment qu’ils ont pu consulter les courriers d’un nombre important d’assurés. Ils ont été les seuls à exploiter cette faille. De son côté, Ameli rassure ses clients en affirmant dans le journal Le Monde que : « Cette anomalie identifiée a été immédiatement corrigée et la sécurité des courriers sur le compte Ameli est aujourd’hui pleinement assurée ».
Certes, dès la fin du mois de novembre, un lecteur a pris la peine d’alerter le site concernant cette faille. Cette information a été transmise directement à l’Agence Nationale de Sécurité des Systèmes d’Information ou ANSSI ainsi qu’au service de presse de la Caisse Nationale de l’Assurance Maladie ou CNAM. Aussitôt, ils ont pu identifier l’anomalie et par la suite la résoudre.
Pages personnalisées : données référencées par Google
Pourtant, après que cette première faille a été traitée, Nextinpact en a découvert une autre. Il s’agit cette fois-ci d’une dizaine de « pages personnalisées de confirmation d’inscription affichant les noms et prénoms d’assurés ». Vu que certaines données ont été référencées par Google, elles sont donc ainsi accessibles à tous en procédant à une simple recherche. Selon Nextinpact :” La plus vieille page avait été archivée le 15 septembre, la plus récente ce dimanche 8 décembre, et donc après que le premier problème ait été corrigé ». Face à cette situation, l’anomalie est remise au fichier robots.txt qui a pour rôle principal de préciser aux robots de Google ce qui peut être indexé ou non. La CNAM affirme par la suite avoir effectué les correctifs nécessaires auprès de Nextinpact. En outre, le service a adressé une demande aux responsables de Google afin de supprimer les pages qui ont été référencées. Il confirme également que ces deux failles sont bien d’origine différente.
Par ailleurs, la presse en ligne Nextinpact a procédé à une vérification et a remarqué que « le fichier robots.txt n’avait toujours pas été corrigé » suite à la déclaration de l’Assurance Maladie. Une situation qui s’avère très étonnante. Le site Ameli.fr affirme avoir effectué une demande de suppression des liens de confirmation d’ouverture ainsi que de fermeture des comptes archivés. Ce processus a été réalisé par ses services juridiques. Pourtant, les résultats ne sont pas encore constatés jusqu’à maintenant. Dans tous les cas, le site Ameli.fr veut apporter une amélioration considérable au niveau de ses services notamment en créant des comptes personnels afin d’éviter l’apparition d’autres failles. Les responsables informent que « ce sera fait courant janvier ».
