Le 14 septembre, Antoine a contacté Numerama pour signaler une étonnante fuite de données personnelles, en provenance de l’Assurance Maladie. Il venait de recevoir sur son espace sécurisé Ameli un document PDF qui contenait quatre courriers identiques. Le premier lui était adressé, mais pas les trois suivants.
Sur chacun d’entre eux figurait le prénom, le nom, l’adresse, le numéro de sécurité sociale d’une personne qu’il ne connaissait pas. Pire, ces courriers signifiaient que les trois inconnus étaient, comme Antoine, positifs à la Covid-19.
Comment ces données de santé à caractère personnel ont-elles pu être partagées aussi « facilement » à un Français ?
L’Assurance Maladie a réagi dans les 5 minutes qui ont suivi notre email d’alerte, puis a lancé une enquête interne à l’aide des informations communiquées par notre source. Dès le lendemain, elle nous a fait parvenir ses conclusions, qui s’avèrent rassurantes : « L’incident n’est pas dû à une faille de la sécurité informatique du compte amélie ou du système informatique de l’Assurance Maladie, mais à une manipulation inappropriée d’un agent lors du chargement du courrier destiné à l’assuré. Il ne s’agit en aucun cas d’un problème généralisé ou fréquent. »
L’institution ajoute qu’elle contactera les trois personnes dont les données ont été divulguées, ce qu’elle n’avait pas pu faire avant, car elle ne s’était pas aperçue de l’erreur : « Votre signalement nous conduit naturellement à mettre en œuvre l’ensemble des obligations prévues par le Règlement général sur la protection des données dans l’intérêt de la protection des droits des personnes concernées. » Le RGPD prévoit une notification à l’autorité des données, la Cnil, et une communication auprès de chaque personne concernée.
Problème au bout de la campagne de dépistage Covid-19
Pour comprendre pleinement la situation qui a mené à cette erreur, il faut rembobiner quelques jours plus tôt. Par mesure de prévention, Antoine effectue un test PCR en laboratoire, car il a été en contact avec plusieurs personnes positives à la Covid-19.
Son résultat s’avère également positif : Antoine a la Covid-19. Il reçoit peu après un appel de l’Assurance Maladie, ou plus exactement, de la « brigade Covid », comme prévu dans la procédure de traçage des contacts. Un opérateur lui rappelle la conduite à tenir et lui pose des questions pour cibler les cas contacts, c’est-à-dire les personnes qu’Antoine a côtoyées pendant les 7 jours précédant le test.
Moins de deux jours plus tard, il reçoit un email l’invitant à consulter son espace Ameli. Il y trouve le courrier en format PDF, intitulé « Campagne de dépistage Covid-19 ». Son « conseiller Assurance Maladie » le remercie pour l’entretien téléphonique, et lui rappelle à nouveau les consignes : port du masque et respect de la période d’isolement préconisée par le médecin. Il s’agit donc un simple courrier de rappel, qui indique le numéro de la brigade au cas où la personne malade voudrait signaler un autre cas contact. C’est à la suite de cette lettre que les courriers identiques de trois autres personnes habitant dans la même région qu’Antoine ont été collés.
Empêcher l’éventualité d’une (dangereuse) erreur humaine
L’incident, isolé, serait anecdotique si les données communiquées par erreur n’étaient pas aussi sensibles. Heureusement, elles ont atterri dans les mains d’une personne honnête. Mais le numéro de sécurité sociale et la positivité au Covid-19 sont deux informations que des cybercriminels un soit peu créatifs exploiteraient facilement. Par exemple, ils pourraient utiliser ces deux informations pour envoyer un email de phishing, dans lequel ils se feraient passer pour l’Assurance Maladie. Avec deux données aussi précises, ils n’auraient aucun mal à obtenir la confiance de leur cible, et à la faire cliquer sur un document qui contiendrait un malware, ou à lui extorquer d’autres informations sensibles.
Il s’agit d’une information si importante que des personnes mal intentionnées pourraient également être amenées à piéger, même hors ligne, les trois autres personnes, par exemple en appelant leur employeur ou en leur faisant du chantage.
Vu la sensibilité des données qui sont manipulées, la simple éventualité que l’erreur d’une seule personne puisse aboutir à ce genre d’incident ne devrait pas exister. Ici, un opérateur a probablement oublié d’ouvrir un fichier PDF différent pour chaque courrier, et les a à tort regroupés, sans s’en rendre compte. Cela signifierait que ce processus d’envoi d’email n’est pas automatisé, alors que le document est le même pour tous — il pourrait donc s’agir d’une procédure technique assez simple à mettre en place pour limiter les risques d’une erreur humaine.
L’Assurance Maladie veut s’assurer que l’incident ne se reproduira pas
Un processus de vérification plus exigeant permettrait d’éviter la répétition de ce genre d’erreur. Et justement, l’Assurance Maladie confirme à Numerama qu’elle travaille à l’améliorer : « L’éventualité d’un tel incident a déjà été identifiée. Pour y remédier, une solution technique est en cours de développement afin que ce type d’anomalie ne se reproduise plus. »
Si l’institution respecte son engagement, l’incident d’Antoine restera anecdotique, et aura simplement servi de piqûre de rappel. Sinon, il pourrait se reproduire dans les mois à venir, alors que le nombre de cas de Covid-19 explose, et que la masse de travail des opérateurs chargés d’effectuer le traçage des contacts s’alourdit.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !