Sécurité

Insurtech : Une faille de sécurité met Lemonade sous pression

Après avoir découvert « une faille de sécurité d’une impardonnable négligence » sur le site de Lemonade, Muddy Waters Capital met l’insurtech sous pression. Alors que les données personnelles de clients pourraient être affectées, le short seller activiste demande à l’assureur de fermer sans attendre sa plateforme pour corriger cette défaillance.

Depuis hier, Muddy Waters Capital met Lemonade sous pression. Le short seller activiste, spécialisée dans la rédaction de notes de recherches sur les grandes sociétés cotées, indique avoir découvert accidentellement « une faille de sécurité d’une impardonnable négligence » sur le site de l’insurtech.

Dans une lettre ouverte envoyée à Daniel Schreiber, CEO de Lemonade, Carson Block, le patron de Muddy Waters Capital, est particulièrement véhément à l’endroit du fondateur de l’insuretch. « Il est clair que Lemonade se fout de la sécurité des informations personnelles et sensibles des clients », écrit-il.

Dans sa missive, Carson Block explique en détails comment les informations sensibles des assurés de Lemonade ont été indexées par Google, Bing et Wayback Machine. Preuves à l’appui (même si ces dernières ont été masquées pour des raisons de sécurité sur le document), il explique qu’ « en cliquant sur les résultats de ces moteurs de recherche publics, nous nous sommes retrouvés connectés et capables de modifier les comptes des clients de Lemonade sans avoir à fournir les informations d’identification de l’utilisateur !. Et ce dernier d’ajouter que cette vulnérabilité semble exister depuis au moins juillet 2020, mais elle est détectable grâce à une application de test de sécurité standard qui coûte 400$ par an ».

Infractions légales et réglementaires

Compte tenu d’une telle faille « front door », Carson Block s’interroge également sur le niveau de sécurité « back door » du site, mettant en cause l’« indifférence totale » de Daniel Schreiber en ma matière. « La valeur perçue de Lemonade réside en partie dans sa collecte de données – dans quelle mesure cet avantage exclusif est-il sécurisé ? », questionne le patron de Muddy Waters Capital.

Surtout, le short seller explique que les failles de Lemonade impliquent peut-être des infractions légales et réglementaires coûteuses. « Nous avons découvert que l’un des crawlers avait indexé les informations personnelles d’un résident de l’Union Européenne. Comme Lemonade commercialise ses produits directement auprès des résidents de l’UE, nous pensons que Lemonade aurait pu enfreindre le California Consumer Privacy Act et les réglementations de New York relatives aux exigences de cybersécurité des sociétés de services financiers (23 NYCRR Part 500) ».

Fin 2020, l’insurtech avait notamment officialisé son arrivée prochaine en France. Le dirigeant de Muddy Waters Capital demande en outre à Lemonade de mettre immédiatement son site hors ligne pour corriger sa vulnérabilité et enjoint l’assurtech à enquêter sur l’étendue de cette défaillance de sécurité et sur les données personnelles qu’elle aurait pu exposer. Elle lui demande enfin d’en informer les clients potentiellement concernés.

Carson Block conclut sa missive en indiquant qu’ « après avoir été révolté pendant des années par l’indifférence manifeste en matière de sécurité des entreprises comme Lemonade, j’ai conclu que la seule façon de faire la différence était que des gens comme vous soient tenus publiquement responsables ».

Lemonade réfute ces allégations

De son côté, Lemonade s’est défendu de telles allégations. Dans une série de tweets, Shai Wininger, le co-fondateur de l’insurtech s’est efforcé de démontrer qu’il ne s’agissait pas d’une vulnérabilité, mais plutôt de design. «  Nous avons conçu nos cotations pour qu’elles soient partageables. Si quelqu’un veut les envoyer à sa famille, à ses amis ou à son organisme hypothécaire, il le peut. Il s’avère que certaines personnes publient leurs cotations sur Pinterest et sur des blogs, et ce sont sur eux que Muddy Waters est tombé », explique-t-il. Et ce dernier de conclure avec une pointe d’humour, « puisque Google indexe déjà Pinterest et ces blogs, ces liens finissent par être détectables sur Google – et Muddy Waters les a découvert. Nous espérons qu’ils n’ont pas passé trop de temps sur le sujet… ».

Lire la suite ici : Insurtech : Une faille de sécurité met Lemonade sous pression (source : News Assurances Pro – Media Indépendant des assureurs, mutuelles et institutions de prévoyance)

News Assurances Pro

Y a-t-il une alternative à la Sécurité Sociale ?

Diverses sources médiatiques contribuent à diffuser des informations pouvant laisser croire qu’il est aujourd’hui possible de se séparer de la Sécurité Sociale au profit d’une assurance privée européenne moins chère et offrant une meilleure couverture. Vrai ou faux ?

Les détracteurs argumentent que l’affîliation à la Sécurité Sociale du régime obligatoire est contraire au droit européen. Pourtant, saisis par l’Etat, les juges confirment que : “ contrairement aux interpretations et convictions… le monopole de la Sécurité Sociale demeure en France ”. Ils précisent que “ sont affiliées à un régime obligatoire de sécurité sociale, quel que soit leur lieu de résidence, toutes les personnes qui exercent sur le territoire français une activité professionnelle non salariée – artisans, commerçants, professions libérales, etc. (Code de Sécurité Sociale art. L III-2-2, l°,b) ”.

L’affiliation au régime de Sécurité sociale français est obligatoire et une dérogation à cette obligation expose à des sanctions pénales et/ou financières importantes.

Notez qu’en cas de refus d’affiliation ou de désengagement à la Sécurité Sociale obligatoire, d’importantes sanctions pénales et financières sont prévues : six mois d’emprisonnement et amende de 15.000 €.

Le guide pratique de l'assurance

Y a-t-il une alternative à la Sécurité Sociale ?

Diverses sources médiatiques contribuent à diffuser des informations pouvant laisser croire qu’il est aujourd’hui possible de se séparer de la Sécurité Sociale au profit d’une assurance privée européenne moins chère et offrant une meilleure couverture. Vrai ou faux ?

Les détracteurs argumentent que l’affîliation à la Sécurité Sociale du régime obligatoire est contraire au droit européen. Pourtant, saisis par l’Etat, les juges confirment que : “ contrairement aux interpretations et convictions… le monopole de la Sécurité Sociale demeure en France ”. Ils précisent que “ sont affiliées à un régime obligatoire de sécurité sociale, quel que soit leur lieu de résidence, toutes les personnes qui exercent sur le territoire français une activité professionnelle non salariée – artisans, commerçants, professions libérales, etc. (Code de Sécurité Sociale art. L III-2-2, l°,b) ”.

L’affiliation au régime de Sécurité sociale français est obligatoire et une dérogation à cette obligation expose à des sanctions pénales et/ou financières importantes.

Notez qu’en cas de refus d’affiliation ou de désengagement à la Sécurité Sociale obligatoire, d’importantes sanctions pénales et financières sont prévues : six mois d’emprisonnement et amende de 15.000 €.

Le guide pratique de l'assurance

Sécurité sociale étudiante 2016 : prix, comment s’affilier, quels remboursements ?

Comment s’affilier à la Sécurité sociale étudiante ? Combien coûte-elle ? Est-elle obligatoire ? Pourquoi parle-t-on de « mutuelle étudiante » ?

Mutuelles : Unéo, GMF et la MGP lancent Unéopôle, leur pôle défense et sécurité

GMF (Covéa), la Mutuelle générale de la police (MGP) et Unéo, la mutuelle santé des militaires, actent leur partenariat en donnant naissance à l’union de groupe mutualiste (UGM) Unéopôle. Un pôle de protection sociale « Défense et sécurité » qui entend jouer un rôle de premier plan dans le prochain référencement par le ministère de la Défense.  Lire l’article
L’Argus de l’Assurance – Acteurs