Il semblerait que le site Ameli ait encore été victime d'un piratage. Les informations personnelles de plus d'un million de bénéficiaires de l'Assurance maladie seraient en vente sur le Dark Web, y compris des coordonnées bancaires. Heureusement, l'assurance maladie affirme qu'il s'agit d'une fausse alerte !

Le site de l'Assurance Maladie a l'habitude de subir des piratages (voir plus loin), les services de la Caisse nationale d'assurance-maladie (la Cnam) – Ameli pour le grand public et AmeliPro pour les professionnels de santé – étant particulièrement attrayants pour les pirates, dans la mesure où ils contiennent des données personnelles de dizaines de millions d'assurés. Cette nouvelle affaire semblait particulièrement grave. Comme le rapporte le service veille du site Zatac, spécialisé en cybersécurité, une annonce avait été postée sur un forum de hackeurs pour mettre en vente un million de comptes du site de l'assurance maladie pour la modique somme de 6 000 dollars – soit environ 5 700 euros. Heureusement, Ameli assure qu'aucun vol de données n'a été décelé sur ses systèmes.

Piratage d'Ameli : mots de passe et coordonnées bancaires en vente ?

Selon l'annonce, les données personnelles dérobées par le hackeur comprennaient des numéros de sécurité sociale, des identifiants et des mots de passe de compte. D'autres informations pourraient avoir été compromises puisque le site Ameli possède les adresses postales, mais aussi les coordonnées bancaires nécessaires au remboursement pour les praticiens. Les bénéficiaires du site auraient donc été exposés à des escroqueries et autres buts malveillants, comme l'usurpation d'identité ou des détournements de fond. Cette affaire faisait le plus mauvais effet quant à la sécurisation des informations sur les services de l'Assurance maladie, d'autant plus que, depuis février 2022, la Cnam incite le public à utiliser Mon espace santé, son tout nouveau service destiné à réunir et à conserver de façon sécurisée toutes les informations médicales de ses assurés en France (voir notre article)…

Ameli : des données personnelles très convoitées

Ameli est régulièrement victime de campagnes de phising – hameçonnage en français. De nombreux  SMS circulent actuellement pour demander le renouvellement de sa carte vitale expirée, avec bien évidemment un formulaire de saisie de coordonnées et un paiement électronique à la clef pour justifier des frais d'envoi, qui ne vont que de quelques centimes à quelques euros. Si le prix demandé semble dérisoire – cela rend la démarche plus crédible et amène à baisser sa vigilance –, il s'agit surtout de récupérer les données pour les exploiter. Cette technique est d'autant plus efficace que certains utilisateurs ne sont pas familiers avec les méthodes adoptées par les cybercriminels. Pour lutter contre ces arnaques, Ameli affiche désormais sur sa page d'accueil un bandeau alertant sur les appels, courriels et SMS frauduleux, avec de nombreux conseils pour s'en prémunir.

Ce n'est pas la première fois que ce genre d'incident arrive. En mars 2022 déjà, les informations personnelles de quelque 500 000 bénéficiaires de l'Assurance maladie avaient été dérobées. En se procurant les identifiants et les mots de passe de professionnels de santé (principalement des pharmaciens) et en utilisant un robot logiciel, les pirates avaient procédé à des interrogations "en chaîne" d'un service dénommé Infopatient donnant accès, à partir de numéros de sécurité sociale, à certaines informations administratives d'assurés. Parmi les données dérobées, figurent les noms et prénoms des assurés, mais aussi leur date de naissance, leur sexe, leur numéro de sécurité sociale et même les données relatives aux droits comme la déclaration d'un médecin traitant, la prise en charge à 100 % ou encore l'attribution de la complémentaire santé solidaire.

L'an dernier, le quotidien Libération révélait que les données personnelles de plus de 400 000 personnes étaient regroupées dans un fichier disponible sur le Web. Au menu, de nombreuses données sensibles comme les noms et prénoms des patients, mais aussi le numéro de sécurité sociale, numéro de téléphone, groupe sanguin, etc. Le fichier, qui proviendrait d'une base de données employée par des laboratoires d'analyses médicales du nord-ouest de la France, comprenait des informations recueillies entre 2015 et 2020 et ne bénéficiait d'aucun chiffrement.

Que faire pour se protéger ?

Afin de ne pas prendre de risques, vérifiez d'abord que vous n'avez pas répondu à un e-mail ou un SMS suspect semblant provenir de l'Assurance Maladie. La méthode de piratage n'étant pas connue, mieux vaut changer tous vos mots de passe d'accès au compte Ameli et surveiller attentivement l'activité de votre compte Ameli dans les semaines et mois à venir. Si vous vous retrouvez victime d'une fraude malgré tout, faites immédiatement opposition au 0 892 705 705 (disponible 24 h/24), puis auprès de votre organisme bancaire, changez vos mots de passe et déposez plainte au commissariat. Si vous repérez une tentative d'arnaque par SMS ou par téléphone, n'hésitez pas à le signaler à Signal Spam. Vous pouvez également signaler une adresse de site d'hameçonnage à Phishing Initiative qui en fermera l'accès. Malheureusement, ces campagnes sont de plus en plus courantes et il faut rester vigilant en permanence. Et pensez à consulter notre fiche pratique pour repérer et signaler toute tentative d'escroquerie.