Une nouvelle arnaque cible les assurés via Amelipro. Les données personnelles administratives de plus de 500 000 personnes ont fuité. L’Assurance maladie demande aux professionnels de prendre des mesures pour contrer ces cyberattaques.
L’Assurance Maladie a détecté, il y a quelques jours, la connexion de personnes non autorisées à des comptes Amelipro. « Il ressort des premières analyses que les attaquants ont pu se connecter à des comptes dont les adresses e-mail avaient été compromises (19 comptes de professionnels de santé ont été identifiés) », indique-t-elle. Les pirates ont pu accéder au service Infopatient et aux données de 510 000 assurés : identité, numéro de sécurité sociale, droits (déclaration d’un médecin traitant, CSS, AME, éventuelle prise en charge à 100 %). Les coordonnées de contact et bancaires, ainsi que les données relatives aux éventuelles pathologies et à la consommation de soins, ne sont pas concernées par cette cyberattaque, précise l’Assurance maladie, en ajoutant que les adresses IP des hackers ont été bannies et les comptes des professionnels de santé réinitialisés. Les personnes touchées ont été informées, une notification a été adressée à la Cnil et une plainte pénale a été déposée.
Pour garantir la sécurité des accès aux services réservés aux professionnels de santé, l’Assurance Maladie a mis en place des mesures de renforcement de la sécurité :
- depuis le 22 mars, lors de la connexion à Amelipro, le professionnel de santé doit changer son mot de passe ;
- certaines fonctionnalités sont désormais accessibles uniquement à partir d’une connexion avec la carte CPS ;
- lors d’un appel au 3608, pour toute question touchant à des données confidentielles, le professionnel de santé devra confirmer son identité en communiquant au conseiller de l’Assurance maladie uniquement les 5 derniers chiffres de son RIB professionnel. Si le professionnel de santé confie la gestion administrative à une tierce personne (secrétaire, comptable…), il convient donc de lui transmettre ces 5 chiffres.
L’Assurance Maladie rappelle en outre quelques conseils de sécurité à appliquer pour éviter une prochaine cyberattaque :
- créer une boite mail dédiée à Amelipro qui n’est pas utilisée pour une autre activité ;
- changer régulièrement le mot de passe du compte, qui doit être différent de tout autre site ou messagerie ;
- ne pas communiquer ses identifiants d’accès à Amelipro ;
- surveiller régulièrement l’activité du compte ;
- en cas d’attaque ou d’activité suspecte sur le compte Amelipro, changer le mot de passe et prévenir l’Assurance maladie via le 3608.