Ameli piraté, 510 000 données volées

L'article donne l'impression qu'il s'agit d'une faiblesse du site Ameli, mais ce n'est probablement pas le cas. Les accès amelipro de 19 prof.. de santé ont été volés (leurs adresses e-mail avaient été compromises). A partir de ces accès, un script opéré par un pirate a pu se connecter et interroger répétitivement le service "Infopatient" pour récupérer les infos administratives de 510k assurés. Donc apparemment pas de faille du site, juste les difficultés habituelles que rencontrent les opé. de services en SaaS (logiciel en tant que service) quand une population non formée à la sécurité se connecte. Les situations que l'on rencontre habituellement sont l'emploi d'adresses e-mail mal protégées ou ayant déjà été compromises ou les mots de passe déjà utilisés sur d'autres services qui eux-même ont déjà été piratés. Généralement, on compense grâce à la mise en place d'une authentification forte impliquant, en sus du mot de passe, la possession d'un moyen physique permettant la vérification de l'identité (ex. carte à puce). Cela ne semble pas avoir été le cas ici (?) Reste un point important, à quel moment le système s'est-il rendu compte du pb ? Cela fait tout de même quasi 27 k fiches chargées par compte amelipro ? Étonnant. Sources : - https://assurance-maladie.ameli.fr/presse/2022-03-17-infopresse-connexions-non-autorisees-comptes-amel - Mon expérience (pas uniquement stagiaire chez C'est vrai ça ?)