Numéro de sécu, mutuelle: 33 millions de Français concernés par une cyber-attaque au tiers payant

Publié le 08/02/2024 - 16:03
Mis à jour le 08/02/2024 - 15:08

Etat civil, numéro de sécurité sociale, informations sur la mutuelle : "plus de 33 millions" de Français sont concernés par un vol de données lors d'une cyber-attaque contre des gestionnaires du tiers payant, a révélé mercredi 7 février 2024 la Cnil, mais les informations bancaires ou médicales n'en feraient pas partie.

 © Alexane Alfaro
© Alexane Alfaro

Deux sociétés servant d'intermédiaires entre les professionnels de santé - médecins, pharmaciens, opticiens, etc. - et les complémentaires santé ont été la cible de cette attaque : Viamedis (détenue notamment par les complémentaires Malakoff Humanis et Vyv) et Almerys.

Ce sont les opérateurs qu'un professionnel de santé interroge pour savoir s'il peut accorder, ou non, le tiers payant à un assuré social.

"Plus de 33 millions de personnes" sont concernées par une violation de données "pour les assurés et leur famille: l'état civil, la date de naissance et le numéro de sécurité sociale, le nom de l'assureur santé ainsi que les garanties du contrat souscrit", a précisé dans un communiqué le gendarme de la vie privée numérique.

Mais, selon la Cnil, "les informations bancaires, les données médicales, les remboursements santé, les coordonnées postales, les numéros de téléphone" ou encore les adresses électroniques "ne seraient pas concernés".

Aux Français touchés, il est conseillé d'"être prudent sur les sollicitations qu'(ils peuvent) recevoir, en particulier si elles concernent des remboursements de frais de santé" mais aussi "de vérifier périodiquement les activités et mouvements sur (leurs) différents comptes".

"Investigations" rapides

Il est en effet "possible que les données ayant fait l’objet de la violation soient couplées à d’autres informations provenant de fuites de données antérieures", explique la Cnil. L'attaque s'est faite par l'usurpation d'identifiant et mot de passe de professionnels de santé.

L'alerte avait été donnée le 1er février par Viamedis qui a détecté l'attaque et averti les autres plateformes de tiers payant. Quelques jours plus tard, Almerys avait annoncé avoir également détecté une intrusion.

Les autres grandes plateformes de tiers payant ne semblent pas avoir été touchées, selon des informations recueillies par l'AFP auprès notamment de SP Santé (filiale de Cegedim) et de Actil (filiale d'Apicil).

"Devant l’ampleur de la violation", la Cnil va "mener très rapidement des investigations" notamment pour vérifier si les mesures de sécurité des opérateurs touchés par la cyber-attaque étaient conformes à leurs obligations de protection des données.

Elle a aussi appelé les complémentaires recourant à Viamedis et Almerys à informer "individuellement et directement" tous leurs assurés concernés, prévenant qu'elle s'assurera que ce soit fait "dans les plus brefs délais".

Risque de hameçonnage ?

Selon des spécialistes de la cybersécurité interrogés ces derniers jours par l'AFP, les données exposées n'ont pas une grande valeur en tant que telles mais peuvent éventuellement servir à de futures cyber-attaques.

"Ça ne vaut pas grand chose comme données, il faudrait qu'il y ait aussi au moins un e-mail et un numéro de téléphone" pour qu'elles permettent de monter des attaques rapidement, selon Damien Bancal, grand observateur du marché noir de la donnée volée et animateur du blog Zataz.com.

Tamim Couvillers, analyste de la société de cybersécurité Vade, confirme que ces données ont peu de valeur marchande, mais avertit qu'elles "peuvent vite être croisées avec d'autres fichiers".

Ainsi, souligne-t-il, avoir le numéro de sécurité sociale de sa cible "permet de donner de la crédibilité à un courriel de hameçonnage (phishing)", consistant à convaincre l'internaute de cliquer sur un lien malveillant.

"C'est de la donnée fraîche", a également commenté Gérôme Billois, spécialiste en cybersécurité de la société Wavestone.

Almerys et Viamedis n'ont publié aucune information permettant de comprendre si les attaques avaient simplement pour but de voler des données, ou si elles pouvaient viser d'autres buts comme implanter un rançongiciel.

Almerys a indiqué mercredi que son système d'information central n'avait pas été touché par la cyber-attaque. Seul son "portail dédié aux professionnels de santé" a été touché et fermé, a affirmé la société.

(Source AFP)

Société

Loi intégrale contre les violences sexuelles : nouveau rassemblement ce lundi à Besançon

Ce samedi 4 juillet 2026, une grande marche citoyenne contre les violences sexuelles se tiendra à Paris et dans des dizaines de villes en France. En raison de la braderie, l’intersyndicale féministe du Doubs appelle à un nouveau rassemblement devant le tribunal judiciaire de Besançon samedi 4 juillet 2026 à 10h.

Le tribunal de Besançon valide l’arrêté anti-mendicité déposé par la Ville de Besançon

À la suite de l’arrêté anti-mendicité agressive déposé par le maire de Besançon, Ludovic Fagaut le 29 mai dernier, une procédure d’urgence avait été déposée au tribunal administratif de Besançon par des élus de l’opposition et une personne sans domicile fixe domiciliée au CCAS de Besançon. Elle a été examinée lundi dernier par le tribunal qui a rendu sa décision ce jeudi 2 juillet 2026.

Loi d’urgence agricole : le Sénat tient tête au gouvernement sur la gestion de l’eau

En plein débat sur l'adaptation de la France aux canicules, le Sénat a irrité mardi 30 juin 2026 le gouvernement en votant des assouplissements supplémentaires dans la gestion de l'eau pour l'agriculture, fixant notamment des objectifs de stockage jugés "pharaoniques" par la ministre de la Transition écologique Monique Barbut.

À Besançon, une immersion à 50°C pour comprendre les défis du climat de demain

VIDÉO • Lundi 29 juin 2026, alors que la ville de Besançon savourait à peine la fin de la canicule, la ville de Besançon a accueilli, à l’occasion de la plénière du Club Climat, une expérience immersive mobile permettant de sensibiliser aux impacts concrets du changement climatique. Baptisé Climate Sense, l’expérience propose de tester les activités de la vie courante dans un endroit recréant des conditions de vie à 50°C, des températures qui pourraient être celles d’un été de 2050. Déclic assuré, même pour les plus sceptiques !

Chaleur : quand la mini-prairie de la place Leclerc venge Anne Vignot face au fleurissement de Ludovic Fagaut

À son tour, l'ancienne maire écologiste de Besançon, Anne Vignot, a réagi dimanche 28 juin 2026 sur les réseaux sociaux à la gestion des espaces verts de la ville en pleine période de fortes chaleurs. Sa publication fait suite au maintien de la végétation de la place Leclerc, alors que plusieurs mini-prairies urbaines de ce type, mises en place dès le début de son mandat, ont été remplacées sous l'actuelle municipalité de Ludovic Fagaut par des plantations géométriques de fleurs qui ne tiennent pas le choc de la canicule.

Canicule : peut-on arrêter de payer son loyer quand on a trop chaud ?

Alors que les épisodes de fortes chaleurs se multiplient et sont de plus en plus difficiles à vivre, des locataires pourraient s'interroger sur leurs droits lorsque leur logement ne dispose ni de volets, ni d'autres équipements limitant les surchauffes estivales. La question revient régulièrement : est-il légal de suspendre le paiement de son loyer dans une telle situation ? 

Dans le Jura, Choisey végétalise le parvis de sa mairie avec un banc autonome alimenté par l’eau de pluie

La commune de Choisey, qui compte 1.043 habitants, a installé devant sa mairie un banc végétalisé autonome en eau de pluie. Mis en service au printemps 2025, cet équipement de la marque française Rainbeau, conçu et fabriqué en France, permet de végétaliser un espace public fortement minéralisé sans raccordement aux réseaux et sans utiliser d'eau potable pour l'arrosage. Cette réalisation s'inscrit dans une politique de gestion raisonnée de la ressource en eau menée par la commune depuis plusieurs années.

Pacs : la démarche en ligne de pré-demande se simplifie

La procédure de pré-demande de pacte civil de solidarité (Pacs) en ligne a été mise à jour le 9 juin 2026 afin de faciliter les démarches des usagers. Cette évolution concerne les communes proposant ce service dématérialisé et vise à rendre le parcours plus clair et plus simple avant l’enregistrement officiel du Pacs en mairie.

Tenue vestimentaire au travail : quelles sont les règles ?

Peut-on porter un short au travail en période de canicule ? Un employeur peut-il imposer une tenue vestimentaire ? Selon les informations publiées par Service-Public.fr, la tenue vestimentaire relève en principe de la liberté individuelle du salarié. Toutefois, cette liberté peut être limitée lorsque les exigences du poste de travail le justifient.

Offre d'emploi

Devenez membre de macommune.info

Publiez gratuitement vos actualités et événements

Offre d'emploi
 22.4
ciel dégagé
le 04/07 à 11h00
Vent
2.37 m/s
Pression
1028 hPa
Humidité
49 %

Sondage