Piratage de mutuelles : plus de 15 millions de numéros de sécurité sociale compromis
Almerys, une société responsable du tiers payant pour de nombreuses mutuelles, a été victime d'une cyberattaque. Plus de 15 millions de numéros de Sécurité sociale ont été dérobés par un pirate, exposant gravement les assurés.
Le secteur de l'assurance santé française a été victime d'une fuite de données d'ampleur ! Almerys, une société spécialisée dans la gestion du tiers payant qui accueille plus de 200 000 professionnels de santé partenaires et plus de 10 millions de bénéficiaires, a été victime d'une cyberattaque, comme l'a indiqué l'assureur Alan, un de ses clients, dans un communiqué partagé sur son site. Une information qui a été confirmée par Almerys auprès de l'AFP.
Les données dérobées sont particulièrement sensibles, voire potentiellement dangereuses, puisqu'il s'agit de l'état civil (nom, prénom, date de naissance), du numéro de contrat, du nom de l'assureur, du numéro de contrat de l'assureur ainsi que des dates de couverture. Mais, surtout, 15 millions de numéros de Sécurité sociale ont pu être volés, selon le site spécialisé dans les cyberattaques French Breaches, ce qui, associé aux autres données personnelles dérobées, peut donner lieu à des attaques à haut risque. En plus, il est impossible de les changer, comme on pourrait le faire pour un mot de passe compromis.
Piratage d'Almerys : une attaque particulièrement grave
Almerys a confirmé avoir été victime d'une cyberattaque ayant entraîné "l'exposition de données personnelles" de bénéficiaires, sans toutefois donner un nombre précis des personnes concernées. "Cette attaque, concernant l'ensemble des clients, a permis un accès non autorisé au site de délivrance des prises en charge (PEC)" utilisé par certains professionnels et établissements de santé, indique l'organisme.
Selon French Breaches, pas moins de 15 452 549 numéros de sécurité sociale uniques se trouveraient dans un fichier mis en vente sur le Dark Web. Au total, le hacker revendique 44 millions de données volées issues de 674 organismes de santé. Heureusement, les données bancaires, les mots de passe, les adresses et les données de santé des clients n'ont pas été dérobées durant l'attaque. Dans son communiqué, Alan précise que "nous ne partageons ni votre adresse e-mail ou postale, ni votre numéro de téléphone, ni votre IBAN aux prestataires de tiers-payant". Almerys indique avoir "pris des mesures immédiates pour identifier et neutraliser les accès concernés" et a fermé le site PEC, ce qui impacte des demandes de prises en charge notamment en optique, en audiologie, en dentaire ainsi que certaines prises en charge hospitalières. Le reste des services de l'organisme restent en revanche opérationnel. Enfin, il a effectué une notification et une déclaration aux autorités compétentes, en l'occurrence la CNIL et l'ANSSI, comme il est de coutume dans ce genre de situation.
Cette fuite est plus grave que ne le laissent penser les organismes. En effet, entre les mains de cybercriminels, les données volées pourraient servir à orchestrer des campagnes de phishing particulièrement crédibles, notamment grâce au numéro de Sécurité sociale et au nom de l'assureur. Les victimes pourraient ainsi recevoir de faux courriels imitant parfaitement l'identité visuelle de leur mutuelle, enrichis de nombreuses informations personnelles destinées à renforcer la confiance et à les inciter à cliquer sur des liens frauduleux afin de récupérer leurs coordonnées bancaires. Ces informations peuvent aussi favoriser des usurpations d'identité, y compris par téléphone. Sans oublier que le numéro de Sécurité sociale peut permettre d'accéder à certains services publics, comme Ameli.fr, et d'exploiter des dispositifs d'authentification tels que France Connect.
CYBERALERTE | Plus de 15 millions de numéros de sécurité sociale potentiellement exposés dans une nouvelle fuite de données visant Almerys, acteur majeur du tiers payant santé en France. Plus de 44 millions de lignes seraient concernées.
— Seb (@seblatombe) May 21, 2026
Lincident survient après le pic.twitter.com/2vfurHjP3C
De plus, si "seulement" 15 millions de numéros de Sécurité social ont été dérobés, le nombre de personnes touchées pourrait être bien plus important. En France, un même numéro rattache souvent plusieurs personnes, puisque l'assuré principal peut y relier son conjoint et ses enfants en qualité d'ayants droit. D'ailleurs, le pirate s'en vante sur le Dark Web, affirmant avoir un accès complet aux informations familiales à partir d'une seule ligne. Et impossible d'en changer !
Piratage d'Almerys : une histoire qui se répète
Ce n'est pas la première fois qu'Almerys est victime d'une cyberattaque. En janvier 2024 déjà, l'opérateur de tiers payant avait fait l'objet d'une fuite d'une ampleur inédite, aux côtés de Viamedis, ce qui avait conduit à la diffusion des numéros de Sécurité sociale de pas moins de 33 millions de personnes – soit presque la moitié de la population française (voir notre article) ! Deux ans plus tard, l'enquête ouverte par la CNIL et le parquet de Paris n'a toujours pas livré de conclusions publiques, et Almerys semble toujours avoir des lacunes de sécurité.
En effet, cette attaque a été revendiquée par un certain Lagui, notamment connu pour des affaires liées à La Redoute, Actradis ou encore Easy Cash. Il affirme qu'"aucune double authentification n'était activée" – alors qu'il s'agit d'une mesure de protection des plus basiques tout en étant particulièrement efficace.
Pour les assurés touchés par cette nouvelle fuite, il n'y a malheureusement pas de solution miracle, si ce n'est d'être particulièrement prudent vis-à-vis des sollicitations reçues, en particulier lorsqu'elles proviennent de son assureur. Il faut faire bien attention à rentrer ses identifiants et mots de passe uniquement sur des sites officiels et sécurisés. En cas de doute, mieux vaut prendre contact directement avec l'organisme concerné afin de vérifier la provenance et la légitimité du message. Bref, les recommandations de sécurité habituelles !