sécurité : semblant de connexion frauduleuse (résolu)

[pti-rem]

Bonjour,

Il y a eu deux connexions frauduleuses à mon compte Ameli (l'Assurance Maladie En LIgne)
J'ai reçu des notifications de ces deux connexions qui ont eu lieu vendredi 15 avril 2022 à 17:40 et à 17:41 ; Des notifications comme à chaque connexion de ma part ; pas des fausses.

=www-client/google-chrome-100.0.4896.88^msd(10:26:22 12/04/2022) était ouvert sur ma boîte de réception Gmail pendant que je cherchais une pince dans mes outils.
Je m'en suis aperçu une demi-heure plus tard. J'ai vérifié l'horodatage de la dernière connexion à Ameli ; c'était bien à 17:41

J'ai changé mot mot de passe pour Ameli en ayant vérifié mes informations au préalable (n° de téléphone, adresse mail, RIB)

Je mets à jour mon système mais je suis inquiet.
Tous mes mots de passe - sauf ceux qui concernent l'argent - sont dans différents fichiers texte simples et ils sont aussi enregistrés dans Chrome pour la plus part.
Tapez pas svp ! Il y en a des centaines et je n'ai pas su faire autrement.

J'ai supprimé les moyens de paiement enregistrés dans le navigateur Chrome où il en figurait ; Et aussi chez Amazon.
et j'ai changé le mdp de mon Paypal tout en ne laissant que ma CB - prétendument protégée par un service « certicode plus » de ma banque - comme source d'approvisionnement.

Je suis peut-être paranoïaque, mais je ne peux pas contacter Ameli avant mardi prochain ;
comme si il s'agissait d'une opération préparée pour avoir le temps d'exploiter des données d'identifications subtilisées.
Faut dire qu'une partie de ma stratégie est de noyer le poisson dans des quantités énormes d'informations obsolètes ou même fausses.

Je navigue essentiellement avec google-chrome-stable, puis Opera, Brave-bin et enfin Firefox-bin.
Je me protège avec un système à jour et l'extension uBlock origin (qui est open source il me semble) pour la navigation.
Il y a aussi Tampermonkey pour les scripts « AdsBypasser » et « Anti-Adblock Killer | Reek »

Je n'ai aucune idée de ce qui m'a été dérobé ni de quelle manière cela a été fait.
Je ne sais pas si c'est la mémoire des mdp de chrome qui a été lue ou bien alors mes fichiers dans mon filesystem.
Ce peut être un script tiers malicieux qui en est à l'origine.
Comment savoir ?

Je n'ai aucune socket Internet active ; je ne sers rien, ni moi ni aucun des postes du LAN sous la box O
Il n'y a pas de DMZ ; si ce n'est la box elle même.

Je pense que je devrais appeler ma banque. Je vais contacter Ameli par écrit.

Voilà la vilaine histoire que je subis
Ça peut être pire ou alors pas trop grave.

Merci de m'aider si vous avez des trucs à dire.

[pti-rem]

J'ai réécrit en partie le message précédent pour une meilleure compréhension.

[netfab]

Salut,

Entendu il y a quelques temps à la radio : https://www.20minutes.fr/societe/3255163-20220318-assurance-maladie-site-ameli-pirate-donnees-plus-500000-francais-derobees
Peut-être un lien ?

[pti-rem]

Salut,

J'ai été concerné par une précédente violation de données de santé suite à un test de dépistage Covid-19 dont le compte-rendu a été validé mi-2020 (sic).
La fuite aurait eu lieu entre le 12 (confirmation) et le 14 septembre 2021 (fermeture d'un serveur en nouvelle-Zélande).
Les données subtilisées sont sans aucun doute encore "dans la nature"

https://www.cnil.fr/fr/fuite-de-donnees-de-sante-ap-hp-que-pouvez-vous-faire-si-vous-etes-concerne

À ce propos, j'ai reçu un courrier datant du 20 septembre 2021 et présentant des explications et des excuses.
Je peux en faire une copie numérique anonymisée si ça intéresse.

Je n'ai rien reçu concernant la violation de données évoquée dans le lien que tu donnes netfab.
Elle est relativement récente. Il peut y avoir un lien. Merci.
Je verrai bien mardi au téléphone avec ma caisse.

Mais il n'est nullement évoqué la fuite du mot de passe dans les deux cas.
Je suis quand même particulièrement vigilant par rapport au phishing.

Pour la petite histoire, j'avais ouvert un DMP pour voir comment c'était fait, puis je l'ai clôturé.
J'ai fait la même chose avec mon espace santé, la nouvelle formule.

Pour le moment, je suis encore mi-figue, mi-raisin quant à la confiance que je porte à mon système.
Les systèmes sont vulnérables et, plus globalement, ils sont tous destinés à s'écrouler.

[pti-rem]

Salut,

J'ai fait mon signalement à l'ouverture par téléphone et il va être remonté, j'imagine à une cellule spécialisée.
J'ai compris en plus d'un quart d'heure qu'il en faut un certain nombre pour être pris d'emblée au sérieux.

Mon signalement était le premier de la journée pour mon département.
J'espère avoir un retour.
Je dirai.

Enfin, voilà...
Après ce long week-end, je ne suis plus sûr de rien, je préfère douter ; ça rend moins fou.
J'ai même déjà un petit peu honte d'avoir lancé ce sujet.

Il me reste donc un « Pourtant ! » en tête.
Puis, Tout Va Très Bien Madame La Marquise...

[El_Goretto]

Il n'y a aucune honte à avoir à discuter de sécurité informatique. Il y a toujours un bon enseignement à en tirer, en général.

Rien ne vaut une bonne frousse (de préférence sans conséquence) pour se motiver à corriger une fainéantise qui traîne depuis trop longtemps. Comme par exemple arrêter de stocker ses mots de passe en clair dans Firefox/Chrome et migrer sur un keepassXC + son extension navigateur
_________________
-TrueNAS & jails: µ-serv Gen8 E3-1260L, 16Go ECC + µ-serv N40L, 10Go ECC
-Réseau: APU2C4 (OpenWRT) + GS726Tv3 + 2x GS108Tv2 + Archer C5v1 (OpenWRT)

[pti-rem]

Il me semble avoir compris l'origine de ces notifications par mail d'authentification à mon compte Ameli.

C'est le coffre-fort Digiposte qui les a provoquées quand il a tenté de collecter les documents des organismes « Ameli - relevé mensuel » & « Ameli - avis de paiement »
Alors que normalement, la connexion est silencieuse pour l'usager lors de la collecte.

Digiposte était plutôt planté dans sa relation de collecte avec au moins ces deux organismes.
Pour preuve, quand j'ai essayé plusieurs fois ces derniers jours de lancer une collecte manuelle, à chaque fois j'avais par mail une notification de connexion à Ameli.
Et la collecte ne se faisait pas et j'avais sur Digiposte un message d'erreur...

Édit : fallait repasser pour laisser une session se terminer ou il fallait que j'attende la prochaine collecte ; un peu mal fichu.
Le nom de l'organisme était remplacé par le nom et du code de la variable logicielle de l'organisme - organism-name et codes par exemple ?
assez abscons.

Je viens de voir très récemment dans mon Digiposte que deux mois de retard - j'exagère un peu - de documents ont été collectés pour les organismes évoqués, et ce de manière silencieuse.
Je vois aussi que ces organismes ne sont plus en erreur « intervention requise »

Je vais me contenter de cette explication.
Pour information, je ne paie pas pour ce produit relativement fini ; j'ai une version gratuite « utilisateur de la première heure »

Je continue de réfléchir à l'utilisation du trousseau crypté keepassXC + son extension navigateur.
J'ai eu effectivement assez la frousse pour ne pas le négliger.
Sur un système tout frais, je n'aurais aucune hésitation.

La Poste et encore la poste !
Ce ne sont pas des Blaireaux