De nombreuses informations personnelles issues d’une mutuelle française sont actuellement en vente par des pirates. On y retrouve notamment des pièces d’identité et des RIB de clients du service de santé.
Une attaque ne vient jamais seule
Une première fuite de données a eu lieu en mars 2022. On retrouve alors un fichier en vente contenant les informations personnelles de 74 000 adhérents de la mutuelle Emoa. Cette première attaque sur les serveurs a permis de récolter le nom des clients ainsi que leur numéro d’adhérent, adresse, date de naissance et e-mail.
L’Agence nationale de la sécurité des systèmes d’information (Anssi) repère et signale rapidement la fuite à la mutuelle. Elle s’occupe alors de corriger la faille de sécurité et notifie quelques adhérents de la situation.
Sauf qu’un seul mois plus tard, la petite mutuelle subit une seconde attaque beaucoup plus violente. Cette fois les données collectées et vendues sont beaucoup plus sensibles. L’ampleur est aussi plus grande, avec au moins 80 000 personnes touchées par le siphonnage des données.
De nombreuses données très sensibles volées
La mutuelle explique que les données de 65 000 adhérents et 4 000 entreprises font partie des fichiers dérobés du serveur. En réalité, elle ne compte que les clients toujours enregistrés dans la mutuelle. Des personnes qui n’y sont plus, même depuis 8 ans, se trouvent quand même dans cette base de données.
Mais les choses s'empirent sensiblement. Un des fichiers en vente contient une certaine quantité de liens hypertexte qui ramène vers les contrats des adhérents. C’est alors une mine d’or pour pirate qui s’ouvre. Sans aucune protection, on retrouve tous les documents qui permettent de s'inscrire à l’organisme de protection de santé. On peut ainsi compter des RIB, des lettres de démission, des attestations d’assurance maladie (donc numéro de sécurité sociale) et même des certificats d’immatriculation d'entreprises. Il y a encore pire… Les copies d’une vingtaine de pièces d’identité sont en libre accès absolu.
Selon Libération, qui a mené l’enquête : “En réalité, sans même disposer du fichier vendu par les pirates, de simples outils permettraient à des dégourdis de scanner l’ensemble du site et d’obtenir facilement tous les précieux documents mal protégés.” Une faille tellement béante que l’on peut se demander comment une mutuelle a pu laisser passer ça pendant des années.
La mutuelle a fait son possible avec ses moyens
Ce sont lorsque les enquêteurs de Libération ont contacté la mutuelle qu’elle a découvert qu’elle avait de nouveau été piratée. Dans l'échange avec nos confrères, on peut lire : “La faille dans le serveur a été identifiée dès la première fuite, c’était une erreur humaine. Normalement, on a fait le nécessaire, on a mis en place des outils. Le serveur a été décommissionné en juin.”
Pourtant la mutuelle avait été prévenue par une personne. Ils ont donc contacté l’Anssi pour s’assurer de la véracité des informations. L’organisme n'ayant jamais répondu, les démarches se sont arrêtées là. Lors de l'échange, ils reconnaissent avoir fait une erreur de jugement en sous-estimant la menace. Le problème est que le service de sécurité informatique ne comporte qu’une seule personne. Impossible donc pour eux de pouvoir corriger et anticiper des attaques.