2022-2023 : données de santé, cible n°1 des escrocs et des black hat !

La Caisse Nationale d’Assurance Maladie (CNAM) et le ministère chargé de la Santé s’engagent, dans le cadre du traitement dénommé « Mon espace santé », à assurer la protection, la confidentialité et la sécurité de l’ensemble de vos données personnelles. Les données sont hébergées en France par deux sous-traitants : La société Worldline au travers de sa filiale Santeos, concernant les données de votre dossier médical partagé (DMP), et la société Atos concernant toutes les autres données de « Mon espace santé », ces deux structures étant certifiées HDS, une certification obligatoire qui a pour objectif premier d’assurer la qualité de service des hébergeurs de santé. Le certificat est délivré pour une durée de 3 ans. Par ailleurs, chaque année un audit de surveillance est réalisé.

Une chose est certaine : la sécurisation ne peut être garantie à 100 %. Ce qui est fait par l’homme peut être défait par l’homme ! Mais là n’est pas le sujet. Si le vol de données massif dans le cadre d’une attaque frontale n’est pas à écarter, (Cf. Assurance Maladie : vol de données de 510 000 assurés) toutefois, le danger le plus immédiat pour l’usager est ailleurs…  Un danger sur lequel il peut agir s’il a décidé de faire héberger ses données sur « Mon espace santé ». 

Les attaques par phishing vont vraisemblablement se multiplier.

Quoi que l’on vous dise, vous vous devez savoir que « Mon espace santé » est désormais devenu une cible majeure pour les black hat hackers. C’est une manne financière pour quiconque a accès à un compte et qui pourra alors usurper son identité. Il n’est pas besoin d’être grand clerc pour affirmer que, par-delà Mon espace santé, les opérations de phishing ciblant les organismes hébergeant des données de santé, ou liées à la santé, vont se multiplier.

Prévenir plutôt que guérir !

Il revient donc aux « sachants » de prévenir leurs aînés afin qu’ils ne tombent pas dans les pièges qui se multiplient et vont se multiplier. Compte Ameli ou autres, il est important de faire de la pédagogie. La plupart des attaques ne seront vraisemblablement pas frontales, auquel cas l’État serait responsable. Il est vraisemblable que la plupart des attaques impliqueront la responsabilité des usagers qui se seront fait duper ; l’État pourra alors légitimement se dédouaner de toute responsabilité.

Know how : reconnaître une attaque de phishing.

Comment reconnaître une attaque ?  Généralement, une administration soucieuse de sécurité n’envoie jamais de liens URL ! Même si l’État a commis cette erreur durant la crise du covid, ouvrant la porte à toutes les escroqueries, nous pouvons espérer que cela ne se renouvellera pas. Il est acceptable de commettre une erreur une fois ; deux fois c’est qu’on le fait exprès. Au demeurant, lorsque vous recevez un SMS, un mail, visant à vous duper, commencez par regarder le nom de domaine, soyez attentif à l’orthographe, puis passez votre chemin.   Voici un exemple ci-dessous de tentatives de phishing. Je vous invite avant de poursuivre la lecture à analyser son contenu, et à trouver par vous-même ce qui doit vous alerter.

LE SMS :

« Ameli vous informe que pour conserve vos droit, renouveler votre carte avant le 01/08/2022 Rendez-vous sur : https://ameli-info-centre.com/r/ktVGMr3″

Réponse : outre les fautes d’orthographes et de syntaxe, « conserver »  et «  droits » le nom de domaine en https ( extension sécurisée pour rassurer pourrait être ameli-infos-centre. com / ameli-secure.com bref tout type de nom de domaine incluant le terme « ameli ». Il y a également dans le texte une date butoir induisant un caractère urgent à agir. Sans être exhaustif, il est donc déjà trois éléments qui doivent vous alerter :   l’orthographe, le nom de domaine douteux qui n’est pas l’original, domaine racine type : ameli.fr mais inclus son nom, et la « menace », ici « pour conserver vos droits ».
Cette attaque est simpliste ; une « campagne » de  phishing pouvant être bien plus élaborée. Outre les éléments douteux identifiés qui peuvent être multiples, il est une règle intangible pour se prémunir du phishing par SMS ou via votre courriel :  ne jamais cliquer sur un lien envoyé par l’organisme et ce, quelle que soit l’urgence qui est avancée. Une seule attitude à adopter si vous êtes inquiet : appelez la structure.

De l’entraînement, encore de l’entraînement, toujours de l’entraînement.

Maintenant, si vous pensez ne jamais pouvoir vous faire gruger, essayez-vous à ce test, n’hésitez pas à l’envoyer à vos proches. En « datazerisant » chacun d’entre nous à outrance durant la période covid, pour qui ne s’y est pas opposé, le plus grand responsable de la sécurité de ses données est devenu ipso facto l’utilisateur…  L’utilisateur, vous, moi, n’a désormais pas d’autre choix que de monter en compétences en matière de sécurité ! Certaines structures proposent à ce sujet des entraînements pour les collaborateurs à se prémunir des cyberattaques. La société Mailinblack propose ainsi de former les salariés à adopter les bons réflexes, en permettant de simuler des cyberattaques à l’aide de leur outil « cyber coach », anciennement nommé « Phishing Coach ».  BlueSecure,  de la même façon, a investi le marché de la responsabilisation et de la pédagogie. Elle propose une solution permettant de créer et programmer des simulations de campagnes de phishing en quelques minutes. Puis de déployer des campagnes de sensibilisation en micro-learning. Des solutions que les entreprises seraient de mon point de vue bien inspirées (par-delà les seules données de santé) d’expérimenter.

À vous de « jouer » : Êtes-vous « hameçonnable »?

Si vous êtes un particulier et que vous voulez tester votre aptitude à déceler les pièges tendus, je vous invite à faire le test de phishing proposé par Safeonweb…

Ou encore phishing quizz, qui vous met au défi de savoir reconnaitre une tentative d’hameçonnage. Et quand bien même vous vous considéreriez comme peu susceptible de devenir un jour une victime – de par vos connaissances – il se pourrait bien que ces tests remettent en doute vos certitudes !

« Avec de la candeur, on s’expose à être trompé ; ce qui vaut mieux que d’être capable de tromperie. »

Stanislas Leszczynski, Roi de Pologne