Une faille de sécurité liée à ameli.fr, le portail de la Caisse nationale de l’Assurance-maladie (CNAM) : c’est ce qu’a découvert le site d’information spécialisé NextInpact, informé par un de ses lecteurs.

N’importe quel assuré pouvait l’exploiter, alors que les courriers reçus de la part de l’Assurance-maladie sont également stockés en format PDF sur l’espace personnel du site de l’Assurance-maladie. Il suffisait de modifier le numéro de ce fichier PDF dans la barre d’URL de son navigateur (où apparaissent les adresses des sites et documents en ligne), pour accéder à des courriers en PDF envoyés à d’autres assurés, de façon aléatoire.

Une faille « immédiatement corrigée »

Comme le précise NextInpact mercredi 18 décembre, « il n’était pas possible de cibler un individu en particulier ». Mais le site d’information a pu accéder aux noms, prénoms, adresses et numéros de Sécurité sociale de tiers en quelques secondes. Et à leurs courriers, qui pouvaient, écrit-il, contenir des demandes de documents, de renseignements, des attestations de prise en charge ou de refus de soin à tel ou tel endroit, etc.

« Cette anomalie identifiée a été immédiatement corrigée et la sécurité des courriers sur le compte Ameli est aujourd’hui pleinement assurée », affirme Ameli au Monde, qui ajoute n’avoir constaté aucune exploitation de cette faille – à l’exception de celle de NextInpact et de sa source.

L’organisme assure aussi que « la nature administrative des informations contenues dans ces pièces en limitait fortement l’impact, les courriers envoyés par les caisses primaires aux assurés ne contenant pas d’information personnelle médicale ». Et explique que « l’anomalie constatée n’aurait pas pu être exploitée à des fins malveillantes, car il n’y avait aucun moyen d’aller chercher des informations spécifiques sur une personne donnée, pas plus que de cibler un type de pièce ».

Le Monde