Pourquoi est-il temps d'arrêter de faire des combos nom + date de naissance en 2024 ?
J'avais d'abord pensé à un titre plus sobre "La fuite de donnée chez Viamedis et Almerys : suis-je à risque d'être piraté ?", néanmoins cela serait passer à côté de ce qui nous intéresse le plus ici :
👉 Comment se sécuriser après une telle fuite ?
Quelles données ont été récupérées ?
Les données concernées sont, pour les assurés et leur famille, l’état civil, la date de naissance et le numéro de sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit.
Vous avez sûrement presque tous reçu un email vendredi de votre mutuelle intitulé "Incident de sécurité - Almerys et Viamedis".
À quelles types d'attaques s'attendre ?
Phishing emails + SMS
Les classiques, vous allez recevoir et cela à déjà commencé visiblement des SMS, et des emails semblant provenir des organismes auxquels vous êtes affiliés ( secu + mutuelle), ces SMS comporteront des données précises sur vous, vous mettant en confiance et prétextant que quelque chose d'urgent est à corriger sur votre compte, et qu'il faut cliquer sur le lien pour accéder au site.
Règle 1 : ne jamais cliquer sur un lien d'un email ou SMS
Règle 2 : si il y a une notion d'urgence, cela doit vous mettre la puce à l'oreille sur une possible fraude (comme en banque d'ailleurs)
👉 Il est fort probable même que ce soit un email vous proposant de changer vos identifiants suite à la fuite de données vous renvoyant sur un faux site ameli
Credential stuffing en FR - bourrage d'identifiant
Cette méthode rejoint le titre de cette article, les pirates vont essayer avec des robots de remplir les données au hasard en s'inspirant des données volées.
Recommandé par LinkedIn
Par exemple un numéro de sécu en identifiant et un mot de passe contenant votre date de naissance, votre prénom ou un mélange des deux. On a tendance à négliger la dangerosité d'une fuite qui paraît peu grave mais il est à parier que beaucoup de personnes utilisent un combo de ces données pour leurs mots de passes encore aujourd'hui 👇
Exemple : Jean Dupont né le 26/12/1978 , les pirates essaieront de forcer le code en essayant des combinaisons du type : JeanDupont78, JD26121978, JD1978, Jean2612, Jean261278 etc... en plus des habituels 261278, password, motdepasse26121978
Oui, vous avez dû utiliser ce type de mot de passe, c'est connu, tout le monde le fait, si cet article vous donnes des sueurs froides, allez vite modifier vos mots de passe !
PS : si vous utilisez aussi ce type de mots de passe sur d'autres sites, il est temps d'en changer rapidement
Des appels de faux conseillers ameli et mutuelles
Comme pour les faux conseillers bancaires, on peut s'attendre à une vague d'appels. Comme les pirates ont les dates de naissance, il vont je pense viser les personnes les plus âgés en premier, se faire passer pour un conseiller, rassurer les personnes appelées en leur donnant des infos privées et ensuite leur faire valider des paiements et autres joyeusetés.
Quelles mesures pourraient prendre les organismes publics pour sécuriser les données ?
Désactiver France Connect
L'objectif de pouvoir utiliser un identifiant d'un service public pour accéder aux autres est louable, cependant il met en danger la sécurité des autres services quand un seul est compromis, on aimerait donc une mesure forte sur la sécurité de France Connect.
Renouveler toutes les cartes de sécurité sociale
33 millions de cartes ça fait beaucoup, il serait peut-être temps que les pouvoirs publics fassent des cartes qui s'inspirent des banques et du Cryptogramme Dynamique.
👉 On pourrait par exemple imaginer une carte de sécu avec un numéro dont quelques chiffres changent régulièrement pour éviter que les numéros de carte volée à un instant T impacte l'assurée.