Fuite du numéro de sécurité sociale de 33 millions de Français : que faire si vous êtes concerné ?

C'est une fuite de données sans précédent dans le monde de l'assurance santé française qui met potentiellement en péril les numéros de sécurité sociale de près de la moitié des Français. La Cnil a annoncé mercredi 7 février que les informations personnelles de 33 millions de Français avaient été exposées dans les vols de données qui ont visé Viamedis et Almerys, deux prestataires assurant la gestion du tiers payant pour de nombreuses mutuelles françaises. 

Auprès de RTL, la Cnil explique ce jeudi 8 février que ce nombre est une estimation. "Ce volume constitue le nombre réel de personnes dont les données ont été compromises lors de l'attaque. Les personnes concernées sont celles qui sont assurées et dont les noms apparaissent sur les cartes des complémentaires santé, cela peut être le souscripteur principal tout comme les membres de sa famille assurés avec lui". Ce nombre pourra être revu à la hausse ou à la baisse à la fin des investigations.

Viamedis et Almerys sont des intermédiaires quasi incontournables entre les patients désireux de ne pas avancer leurs frais de santé au titre du tiers payant et les mutuelles et les assureurs qui adhèrent à ces plateformes qui gèrent à leur place les demandes de remboursement des professionnels de santé. Ils revendiquent un peu moins de 40 millions d'assurés asociaux affiliés à une centaine de mutuelles et plus de 200.000 adhérents professionnels à eux d'eux.

Ces deux opérateurs ont annoncé à cinq jours d'intervalle avoir été victimes de cyberattaques qui ont entraîné la violation de données personnelles de leurs assurés et de professionnels partenaires. Parmi les données exposées côté patients, figurent l'état civil, la date de naissance, le numéro de sécurité sociale, le nom de l'assureur et les garanties de contrat. Les informations bancaires ne sont pas concernées par la fuite. Les professionnels doivent quant à eux déplorer la compromission de leur RIB et de leur raison sociale, notamment.

Viamedis et Almerys ont commencé à prévenir ces derniers jours leurs clients actuels et passés qu'ils étaient potentiellement concernés par ces fuites de données. De nombreuses personnes ont aussi été informées par leur mutuelle. Mais ces communications générales ne signifient pas qu'elles sont réellement affectées par un vol de leurs données. La Cnil a indiqué mercredi qu'il appartient désormais aux complémentaires santé faisant appel à Viamedis et Almerys d'informer individuellement et directement l'ensemble des personnes concernées.

Si vous n'avez pas reçu de mail officiel, il est toujours possible d'estimer si vos informations ont des chances d'avoir été exposées en demandant directement à votre mutuelle si elle est liée à l'un des deux prestataires qui a été compromis. Vous pouvez aussi vous rendre sur le site ResoPharma, qui permet de vérifier si leur assurance est gérée par l'un de ces deux opérateurs pour le tiers payant. À ce stade, Viamedis et Almerys sont les seuls opérateurs de tiers payant à avoir reconnu une intrusion dans leurs systèmes. 

Ne donnez jamais suite aux sollicitations par mail, SMS et téléphone

Que faire si vous êtes concerné par la fuite ? La première chose à faire est de prendre conscience de l'importance des données qui sont compromises et ce qu'elles impliquent pour vous. Les données d'identité, voire les données de contact, ne sont pas forcément les informations les plus sensibles. Il est possible de les retrouver assez facilement sur la plupart des sites que vous utilisez et elles ont probablement déjà fait l'objet d'une fuite de données par le passé. 

Le cas des données relatives à l'assureur et aux garanties est plus problématique, car ces informations vont permettre aux escrocs de personnaliser des attaques de phishing pour paraître plus crédibles aux yeux des victimes en s'appuyant sur des éléments réels de leur parcours santé. "L'état civil, le nom de l'assureur, les contrats en cours, le numéro de sécurité sociale, c'est du pain-béni pour faire des attaques de phishing réalistes pour augmenter le taux de clics. Dès qu'on présente le numéro de carte, ça crédibilise le hameçonnage", assure Pascal Le Digol, expert en cybersécurité chez WatchGuard, joint par RTL.

La principale recommandation est donc d'être extrêmement vigilant face aux SMS, aux mails, aux appels et aux sollicitations que vous recevez et de ne jamais donner suite. Si vous recevez un lien ou une injonction à transmettre un code par téléphone, raccrochez et privilégiez les démarches directes. Rendez-vous sur le site de l'organisme en question pour réaliser vous-même l'opération. C'est la seule façon d'être certain de ne pas être victime d'une arnaque. La Cnil conseille d'être particulièrement prudent face aux sollicitations reçues concernant les remboursements de santé, un thème qui risque d'être utilisé par les escrocs dans les prochaines semaines.

Un risque d'usurpation d'identité avec la perte du numéro de sécurité sociale

Le point le plus sensible est la perte du numéro de sécurité sociale, un numéro unique et permanent, au cœur de l'identification des Français dans les démarches administratives. Si la recommandation veut que l'on change un mot de passe en cas de doute, le numéro de sécurité social est définitif. Une fois compromis, il peut être utilisé pour accéder à de nombreux services officiels en ligne.

Faites notamment attention à la plateforme FranceConnect. Si vous souhaitez déclarer un passeport perdu, demander une carte Vitale, consulter les points restants sur votre permis ou dépenser vos crédits formation, il est possible d’utiliser vos codes de connexion au site de l'Assurance maladie, et donc votre numéro de sécurité sociale, pour vous authentifier. Il est donc important de vérifier que vos accès aux principales plateformes de FranceConnect, le site des impôts, Ameli.fr, le Compte formation ou le portail dédié aux retraites, sont bien protégés par un mot de passe fort que vous avez choisi. Connectez-vous à vos espaces sur ces plateformes pour vérifier qu'il n'y a pas eu de connexion suspecte dans les prochaines semaines.

La perte du numéro de sécurité sociale est aussi problématique dans la mesure où elle expose les victimes à un risque d'usurpation d'identité. En recoupant cette donnée avec les informations issues d'autres fuites de données, des escrocs peuvent reconstituer l'identité numérique d'une personne et utiliser ces dossiers pour mener des démarches frauduleuses à leur insu. Des centaines de personnes découvrent ainsi chaque année que des crédits à la consommation ont été souscrits en leur nom. 

Vérifiez les mouvements sur vos comptes les plus sensibles

Les autorités recommandent de porter plainte, ou à défaut, de déposer une main courante pour notifier la perte de vos informations personnelles qui vous expose à une future usurpation d'identité. Cette démarche vous sera utile si cela vous arrive à l'avenir. Ce vol d'informations implique aussi une vigilance de votre part sur le long terme. Surveillez les mouvements sur vos différents comptes, soyez attentif à la bonne réception des factures et du courrier en général. En cas de doute, vous pouvez vérifier qu'aucun compte n'a été ouvert à votre nom sous votre identité en consultant le fichier des comptes bancaires FICOBA (via une saisie de la Cnil) ou en contactant directement la Banque de France.


Si vous estimez être victime d'une usurpation d'identité à la suite de ce vol de données, il est possible d'obtenir conseil sur la plateforme officielle d'assistance aux victimes CyberMalveillance et de déposer plainte auprès d'un commissariat ou d'une gendarmerie.

L’actualité par la rédaction de RTL dans votre boîte mail.

Grâce à votre compte RTL abonnez-vous à la newsletter RTL info pour suivre toute l'actualité au quotidien

Je créé mon compte Se connecter

S’abonner à la Newsletter RTL Info