Piratage Sécurité sociale : les données de 33 millions d'assurés compromises, que faire ?

Piratage Sécurité sociale : les données de 33 millions d'assurés compromises, que faire ?

Viamedis et Amerys, deux sociétés responsables du tiers payant pour de nombreuses mutuelles, ont été victimes d'une cyberattaque. Plus de 33 millions d'assurés sociaux ont vu leur numéro de Sécurité sociale fuiter.

Le secteur de l'assurance santé française a été victime, il y a quelques jours, d'une fuite de données d'une ampleur inédite ! Et les conséquences sont pires que prévu ! À seulement cinq jours d'intervalle, Viamedis – qui s'occupe de la gestion du tiers payant de 84 complémentaires santé, et donc pour un peu plus de 20 millions de Français – puis son concurrent Almerys – qui accueille plus de 200 000 professionnels de santé partenaires et plus de 10 millions de bénéficiaires – ont été victimes d'une cyberattaque, avec un mode opératoire similaire. Une compromission importante donc, qui a conduit à la diffusion des numéros de Sécurité sociale de pas moins de 33 millions de personnes selon la Commission nationale de l'informatique et des libertés (CNIL), soit bien plus que ce qui avait été estimé – c'est presque la moitié de la population française !

Les données dérobées sont particulièrement sensibles, voire potentiellement dangereuses : état civil, date de naissance, nom de l'assureur santé des victimes, garanties des contrats... Mais, surtout, les numéros de Sécurité sociale ont pu être volés, ce qui, associé aux autres données personnelles dérobées, peut donner lieu à des attaques à haut risque. En plus, il est impossible de les changer, comme on pourrait le faire pour un mot de passe compromis. Heureusement, les données bancaires, les adresses postales, les numéros de téléphone, les adresses mail, les données médicales et les remboursements santé ne seraient pas concernés par le vol.

Mais alors, comment savoir si vous êtes touché ? La CNIL indique qu'elle n'est pas en mesure de le déterminer, mais qu'elle va "s'assurer" que les complémentaires santé faisant appel à Viamedis et Almerys informent "individuellement et directement l'ensemble des personnes concernées [...] dans les plus brefs délais". Par précaution, vous pouvez directement contacter votre mutuelle. Pensez à bien vérifier vos mails, spams compris, et votre espace personnel sur le site de votre complémentaire santé pour savoir si cette dernière vous a contacté. En attendant, la CNIL a ouvert une enquête "afin de déterminer notamment si les mesures de sécurité mises en œuvre préalablement à l'incident et en réaction à celui-ci étaient appropriées au regard des obligations du RGPD".

Piratage Viademis : les numéros de Sécurité sociale dérobés

Viamedis avait annoncé le 1er février avoir été victime d'un piratage. En effet, un cybercriminel était parvenu à s'introduire dans la plateforme suite à la compromission du compte d'un professionnel et en avait profité pour s'emparer de certaines données personnelles des assurés sociaux, dont les numéros de Sécurité sociale. Quant aux professionnels de santé, les escrocs ont eu accès à la raison sociale, au nom, au prénom, au mail, au téléphone, à l'adresse, au login Viamedis.net, au RIB, au numéro Siret et au Finess de pharmaciens, d'opticiens, d'audioprothésistes et de dentistes. Le site Web de Viamedis est, à l'heure où nous écrivons ces lignes, toujours inaccessible.

Suite à la découverte de l'intrusion, Viamedis avait immédiatement déconnecté sa plateforme de gestion – elle l'est toujours actuellement. Toutefois, cela n'empêche pas les assurés sociaux de bénéficier du tiers payant. "Les bénéficiaires pourront continuer à utiliser leur carte Vitale et leur carte de tiers payant, et la déconnexion temporaire de plateforme n'aura d'impact que pour certains professionnels de la santé, notamment opticiens, et audioprothésistes"; a expliqué l'entreprise dans son communiqué. Une plainte a été déposée auprès du procureur de la République, tandis qu'une notification et une déclaration aux autorités compétentes, en l’occurrence la CNIL et l'ANSSI, ont été effectuées. Les assurés concernés ont normalement été prévenus et ont été invités à changer leur mot de passer et à prévenir leur banque que leur RIB était compromis.

Piratage Sécurité sociale : des tentatives de phishing à prévoir

Quelques jours plus tard, c'était au tour d'Almerys d'être la cible d'une cyberattaque ayant entraîné l'accès non autorisé au même type de données sensibles. Comme le rapportait RTL, des cybercriminels avaient accédé à sa plateforme de gestion en usurpant l'identité de praticiens "de la même manière que Viamedis quelques jours auparavant". Parmi les données de bénéficiaires exposées figurent là encore le nom, le prénom, la date de naissance, le numéro de Sécurité sociale, le nom de l'assureur et les références de contrats. En revanche, comme chez Viamedis, les informations bancaires, les données médicales, les détails de remboursements de santé, les coordonnées postales, les numéros de téléphone et les adresses e-mail des assurés n'ont normalement pas été compromis.

Reste que, entre les mains de cybercriminels, les informations dérobées peuvent être utilisées pour mener des campagnes de phishing sophistiquées, surtout avec le numéro de Sécurité sociale et le nom de l'assureur. On peut tout à fait imaginer les victimes recevoir de faux mails aux couleurs de leur mutuelle, nourris de nombreux détails personnalisés pour les convaincre de la légitimité du message et de cliquer sur des liens malveillants, dans le but de dérober leurs informations bancaires. Cela peut également conduire à des usurpations d'identité – y compris par téléphone –, sans compter que le numéro social peut servir à accéder à différents services publics (Ameli.fr notamment) et à abuser de certains systèmes comme France Connect. La CNIL conseille d'être "prudent sur les sollicitations" reçues et incite à "vérifier les activités et mouvements sur vos différents comptes". Mieux vaut également "vérifier périodiquement les activités et mouvements sur vos différents comptes".

D'autres organismes ont commencé à prendre des mesures préventives. Ainsi, "le portail dédié à nos partenaires professionnels est fermé par précaution, le temps de faire des vérifications. Il rouvrira à la réouverture des services de tiers payant", a expliqué à RTL un porte-parole de la plateforme Itelis mardi dernier. Car comme dit le dicton, jamais deux sans trois...