Passer au contenu

Une faille triviale permettait de lire les courriers de l’Assurance Maladie

Il suffisait de modifier le numéro d’identifiant des fichiers PDF stockés sur Ameli.fr pour accéder aux courriers adressés à d’autres assurés. Autre souci : le portail de ce service public ne limitait pas l’indexation des pages par les moteurs de recherche.

Y a-t-il un responsable de la sécurité des systèmes d’information à la Caisse nationale d’Assurance Maladie (CNAM) ? On peut en douter, au vu de ce que vient de révéler NextInpact. Fin novembre, le site est informé d’une faille sur Ameli.fr, le portail web de la CNAM. En effet, les fichiers PDF joints aux courriers envoyés aux assurés étaient stockés dans des répertoires sans protection d’accès. « Il suffisait de modifier le numéro identifiant les fichiers PDF adressés en pièce jointe pour accéder à des courriers adressés à d’autres assurés », explique le site. Ce type de faille est assez trivial et fait partie des premières choses que l’on devrait tester lors d’un audit de sécurité. Alertée, la CNAM a confirmé quelques jours plus tard avoir colmaté la brèche.

C’est alors que NextInpact tombe sur une seconde erreur de configuration : l’absence d’une limitation d’indexation. N’importe quel webmaster peut empêcher Google et consorts d’indexer certaines pages web. Il suffit de l’indiquer dans un fichier intitulé « robots.txt », placée à la racine du site. Sur Ameli.fr, ce fichier, visiblement, n’existait pas ou était mal paramétré.

En effet, des recherches effectuées sur Google permettaient d’accéder à des pages personnalisées de confirmation d’inscription, affichant les noms et prénoms d’assurés. Ces pages, toutefois, ne donnaient pas accès à des informations ou documents personnels. Cette faille, que la CNAM n’a pas jugée très importante, a finalement été corrigée le 16 décembre. Bref, avec Ameli.fr, on est certes assuré, mais pas rassuré.

Source: NextInpact

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert Kallenborn