Connexion de personnes non autorisées à des comptes amelipro

En fin de semaine dernière, l’Assurance Maladie a détecté que des personnes non autorisées ont réussi à se connecter à des comptes amelipro, réservés aux professionnels de santé. Les attaquants ont pu se connecter à des comptes dont les adresses mail avaient été compromises.
Via ces connexions, les attaquants ont procédé à des interrogations « en chaîne », avec l’utilisation d’un robot, du service « Infopatient » qui donne accès, à partir de numéros de sécurité sociale, à certaines informations administratives d’assurés.

Ils ont réussi à accéder à des données administratives (données d’identité, numéro de sécurité sociale, données relatives aux droits). Les coordonnées de contact (adresse mail, adresse postale, téléphone) et les coordonnées bancaires, ainsi que les données relatives à d’éventuelles maladies ou soins, ne sont pas concernées. Chaque assuré concerné va recevoir personnellement un courrier/courriel de l’Assurance Maladie qui abordera la situation, les risques de fraudes possibles, les consignes de sécurité à respecter ainsi que la démarcher à suivre pour signaler tout incident.

L’Assurance Maladie a engagé des poursuites pénales suite à ces agissements et a adressé une notification à la Commission nationale de l'informatique et des libertés (Cnil).

Pour garantir la sécurité des accès aux services réservés aux professionnels de santé, l’Assurance Maladie a mis en place des mesures de renforcement de la sécurité :

  • à partir du 22 mars, lors de la connexion à amelipro, le professionnel de santé devra changer son mot de passe ;
  • sur amelipro, certaines fonctionnalités sont désormais accessibles uniquement à partir d’une connexion avec la carte CPS ;
  • lors d’un appel au 3608, pour toute question au sujet d’une demande confidentielle, le professionnel de santé devra confirmer son identité en communiquant au conseiller de l’Assurance Maladie les 5 derniers chiffres de son RIB professionnel. Si le professionnel de santé confie la gestion administrative à une tierce personne (secrétaire, comptable…), il convient donc de penser à lui transmettre ces 5 derniers chiffres.

L’Assurance Maladie tient à rappeler quelques conseils de sécurité à appliquer pour se protéger et sécuriser les accès aux données :

  • créer une boite mail dédiée à amelipro qui n’est pas utilisée pour une autre activité ;
  • changer régulièrement le mot de passe du compte amelipro, en utilisant un mot de passe différent de tout autre site ou messagerie ;
  • ne pas communiquer ses identifiants d’accès à amelipro à d’autres personnes ;
  • surveiller régulièrement l’activité de son compte. L’historique est disponible en haut à droite dans « Gestion de compte » > Mon compte > Consulter mes derniers événements ;
  • en cas d’attaque ou d’activité suspecte sur le compte amelipro, changer le mot de passe et prévenir l’Assurance Maladie en appelant le 3608 (service gratuit + prix appel).

À noter : les conseillers de l’Assurance Maladie ne demandent jamais la transmission en entier du RIB professionnel.

En cours de chargement...