Cyberattaques contre Viamedis et Almerys : 5 questions sur le vol des données de 33 millions de Français

C'est un vol de données personnelles comme la France n'en avait encore jamais connu. Viamedis et Almerys, deux prestataires assurant la gestion du tiers payant pour les mutuelles, ont révélé ces derniers jours avoir été victimes d'un piratage informatique. 

D'après les premiers éléments de l'enquête, des pirates ont usurpé l'identité de soignants pour pénétrer dans leurs plateformes de gestion du tiers payant et accéder à de nombreuses informations personnelles d'assurés, notamment le numéro de sécurité sociale, et de professionnels entre le 29 janvier et le 1ᵉʳ février.

Dans un communiqué publié le 7 février, la Commission nationale de l'informatique et des libertés, le gendarme des données personnelles, a révélé que cette fuite de données concerne plus de 33 millions de personnes, près d'un Français sur deux.

1 - Les données de 33 millions de Français ont-elles vraiment fuité ?

L'ampleur de l'incident est encore incertaine. Pour l'heure, il n'est pas possible de dire combien d'assurés sociaux ont vu leurs informations réellement exfiltrées. 

Les 33 millions de personnes évoquées par la Cnil sont une estimation. L'organisme explique à RTL qu'il se base sur les notifications effectuées par Viamedis et Almerys dans les 72 heures suivant les attaques, conformément à leurs obligations légales. Ces sociétés travaillent avec plus de 150 mutuelles partenaires à elles deux et sont amenées à traiter les données d'un peu moins de 40 millions d'assurés sociaux à ce titre.

Le nombre de 33 millions avancé par la Cnil correspond aux "assurés dont les données ont été compromises au cours de l’attaque, dont les noms apparaissent sur les cartes des mutuelles", explique la Cnil. "Cela peut être le souscripteur principal et les membres de sa famille qui sont assurés avec". On ne sait pas encore si leurs données ont été aspirées, mais on sait qu'elles ont pu être exposées.

Cette estimation sera revue à la hausse ou à la baisse dès la fin des investigations. En attendant, Almerys indiquait mercredi à RTL qu'il ne disposait pas du nombre exact de bénéficiaires impactés par l'exfiltration de données personnelles. Viamedis n'a pas apporté de nouveaux éléments depuis sa communication du 1ᵉʳ février. Une enquête a été ouverte par le Parquet de Paris vendredi 9 février.

2 - Quelles données ont été piratées ?

Viamedis et Almerys ont reconnu une fuite de données "limitée" pour les assurés sociaux. Les informations compromises sont l'état civil, à savoir le nom, prénom, l'adresse et la date de naissance, le numéro de sécurité sociale et les informations relatives à la mutuelle et aux garanties en cours. A priori, les informations bancaires et médicales ne sont pas touchées. C’est ce qu’ont assuré les deux entreprises aux autorités qui mènent l’enquête. 

L'incident a aussi exposé des données de professionnels de santé liés aux mutuelles qui gèrent le tiers payant avec Viamedis et Almerys, à savoir la raison sociale, les RIB utilisés pour les télétransmissions, l'adresse et le numéro Siret. 

La déconnexion des deux plateformes de gestion du tiers payant dédiées aux professionnels de santé complique aussi les prises en charge des frais des patients, notamment chez les opticiens, où les restes à charge sont souvent importants.

3 - Comment savoir si l'on est concerné ?

Le cadre légal oblige les complémentaires santé à informer individuellement et directement les victimes. Viamedis et Almerys ont déjà communiqué pour annoncer qu'ils avaient été visés par des cyberattaques entre fin janvier et début février. 

Depuis ces annonces, les mutuelles qui travaillent avec ces opérateurs ont commencé à envoyer des mails à leurs clients pour les prévenir des risques qu’ils encourent. Les anciens clients sont aussi informés, car les mutuelles sont autorisées à conserver leurs données durant 3 ans, au maximum.

Des messages sont encore susceptibles d'être envoyés dans les prochains jours une fois les enquêtes achevées. Si vous n’avez pas été prévenu, le mieux est de contacter directement votre mutuelle pour demander des explications. 

4 - Quels sont les risques pour les personnes touchées ?

Les informations compromises peuvent surtout être utilisées pour mener des attaques de phishing. Le phishing, ce sont les mails, SMS et appels trompeurs qu’on vous envoie pour dérober des informations. Avec le nom de la mutuelle, les garanties et le numéro de sécurité sociale, attendez-vous à recevoir des mails personnalisés crédibles, prétextant par exemple de vous faire bénéficier d’un remboursement de santé si vous rentrez vos informations bancaires.

L’autre risque, plus problématique, c’est l’usurpation d’identité. Le numéro de sécurité sociale est utilisé dans bcp de démarches administratives. Les pirates peuvent le recouper avec d’autres informations issues d’autres fuites de données pour reconstituer votre identité numérique et faire des démarches frauduleuses à votre insu, comme des crédits à la consommation.

5 - Quelles précautions prendre pour se protéger ?

Pour parer aux tentatives de phishing, le plus important est d’être vigilant à l'avenir face à toutes les sollicitations. Ne donnez jamais suite aux liens reçu par mail ou SMS et ne transmettez jamais d’informations au téléphone. Si quelqu'un se présentant comme votre mutuelle vous appelle, raccrochez et appelez directement l’organisme. En faisant vous-même les démarches, réduisez le risque d’être piraté.

Ces attaques doivent aussi vous inciter à surveiller attentivement les mouvements sur vos comptes les plus sensibles (banque, mutuelle, sécurité sociale, etc.). Vérifiez qu’il n’y a pas d’activité suspecte, que les informations permettant de vous contacter n'ont pas été changées et que vous recevez toujours vos factures. N’hésitez pas aussi à changer vos mots de passe au profit d'une combinaison robuste. Accordez une attention particulière aux comptes permettant d'accéder au portail FranceConnect, comme votre compte sur le site des impôts ou sur Ameli.fr, qui peuvent être la porte d'entrée vers des centaines de services administratifs en ligne.

Enfin, il peut être utile de déposer une main courante au commissariat pour acter que vous avez été victime d’une fuite de votre numéro de sécurité sociale au début du mois de février 2024. Cela pourrait vous servir si vous êtes un jour victime d'usurpation d'identité. Il est aussi possible que les autorités lancent un site pour porter plainte en ligne afin de regrouper les dépositions des victimes, comme ce fut le cas après la fuite de données qui avait exposé les données d'un million et demi de patients qui avaient réalisé un dépistage Covid via l'APHP en août 2020.

L’actualité par la rédaction de RTL dans votre boîte mail.

Grâce à votre compte RTL abonnez-vous à la newsletter RTL info pour suivre toute l'actualité au quotidien

Je créé mon compte Se connecter

S’abonner à la Newsletter RTL Info