Numéro de sécu, mutuelle: 33 millions de Français concernés par une cyber-attaque au tiers payant

Publié le 08/02/2024 - 16:03
Mis à jour le 08/02/2024 - 15:08

Etat civil, numéro de sécurité sociale, informations sur la mutuelle : "plus de 33 millions" de Français sont concernés par un vol de données lors d'une cyber-attaque contre des gestionnaires du tiers payant, a révélé mercredi 7 février 2024 la Cnil, mais les informations bancaires ou médicales n'en feraient pas partie.

 © Alexane Alfaro
© Alexane Alfaro

Deux sociétés servant d'intermédiaires entre les professionnels de santé - médecins, pharmaciens, opticiens, etc. - et les complémentaires santé ont été la cible de cette attaque : Viamedis (détenue notamment par les complémentaires Malakoff Humanis et Vyv) et Almerys.

Ce sont les opérateurs qu'un professionnel de santé interroge pour savoir s'il peut accorder, ou non, le tiers payant à un assuré social.

"Plus de 33 millions de personnes" sont concernées par une violation de données "pour les assurés et leur famille: l'état civil, la date de naissance et le numéro de sécurité sociale, le nom de l'assureur santé ainsi que les garanties du contrat souscrit", a précisé dans un communiqué le gendarme de la vie privée numérique.

Mais, selon la Cnil, "les informations bancaires, les données médicales, les remboursements santé, les coordonnées postales, les numéros de téléphone" ou encore les adresses électroniques "ne seraient pas concernés".

Aux Français touchés, il est conseillé d'"être prudent sur les sollicitations qu'(ils peuvent) recevoir, en particulier si elles concernent des remboursements de frais de santé" mais aussi "de vérifier périodiquement les activités et mouvements sur (leurs) différents comptes".

"Investigations" rapides

Il est en effet "possible que les données ayant fait l’objet de la violation soient couplées à d’autres informations provenant de fuites de données antérieures", explique la Cnil. L'attaque s'est faite par l'usurpation d'identifiant et mot de passe de professionnels de santé.

L'alerte avait été donnée le 1er février par Viamedis qui a détecté l'attaque et averti les autres plateformes de tiers payant. Quelques jours plus tard, Almerys avait annoncé avoir également détecté une intrusion.

Les autres grandes plateformes de tiers payant ne semblent pas avoir été touchées, selon des informations recueillies par l'AFP auprès notamment de SP Santé (filiale de Cegedim) et de Actil (filiale d'Apicil).

"Devant l’ampleur de la violation", la Cnil va "mener très rapidement des investigations" notamment pour vérifier si les mesures de sécurité des opérateurs touchés par la cyber-attaque étaient conformes à leurs obligations de protection des données.

Elle a aussi appelé les complémentaires recourant à Viamedis et Almerys à informer "individuellement et directement" tous leurs assurés concernés, prévenant qu'elle s'assurera que ce soit fait "dans les plus brefs délais".

Risque de hameçonnage ?

Selon des spécialistes de la cybersécurité interrogés ces derniers jours par l'AFP, les données exposées n'ont pas une grande valeur en tant que telles mais peuvent éventuellement servir à de futures cyber-attaques.

"Ça ne vaut pas grand chose comme données, il faudrait qu'il y ait aussi au moins un e-mail et un numéro de téléphone" pour qu'elles permettent de monter des attaques rapidement, selon Damien Bancal, grand observateur du marché noir de la donnée volée et animateur du blog Zataz.com.

Tamim Couvillers, analyste de la société de cybersécurité Vade, confirme que ces données ont peu de valeur marchande, mais avertit qu'elles "peuvent vite être croisées avec d'autres fichiers".

Ainsi, souligne-t-il, avoir le numéro de sécurité sociale de sa cible "permet de donner de la crédibilité à un courriel de hameçonnage (phishing)", consistant à convaincre l'internaute de cliquer sur un lien malveillant.

"C'est de la donnée fraîche", a également commenté Gérôme Billois, spécialiste en cybersécurité de la société Wavestone.

Almerys et Viamedis n'ont publié aucune information permettant de comprendre si les attaques avaient simplement pour but de voler des données, ou si elles pouvaient viser d'autres buts comme implanter un rançongiciel.

Almerys a indiqué mercredi que son système d'information central n'avait pas été touché par la cyber-attaque. Seul son "portail dédié aux professionnels de santé" a été touché et fermé, a affirmé la société.

(Source AFP)

Soyez le premier à commenter...

Laisser un commentaire

Société

Le collectif Hop hop hop retire sa banderole appelant à aller voter

À la suite du résultat des élections européennes, le collectif Hop Hop Hop avait affiché une banderole appelant à aller voter sur la façade de l’Arsenal, bâtiment qu’il occupe à Besançon. Le collectif a été sommé de retirer la banderole par le chef de file de l'opposition Ludovic Fagaut qui en avait fait la demande expresse lors du conseil municipal du jeudi 20 juin 2024. 

3677 : le nouveau numéro vert pour signaler les maltraitances animales

Le Conseil nationale de la protection animale (CNPA) a lancé ce lundi 24 juin 2024, un nouveau service téléphonique permettant de simplifier les signalements de maltraitance animale. Celui-ci devrait permettre de venir en aide aux personnes souhaitant signaler un cas de maltraitance animale mais ne sachant pas comment s’y prendre, en les orientant rapidement vers le bon interlocuteur.

Faites le choix de l’armée !

Avec 117 spécialités dans 16 domaines d’activité, l'armée de terre offre de nombreuses opportunités de formation et de métier dans l’aérocombat, l’artillerie, le combat blindé, les forces spéciales, le génie, le BTP ou les risques nucléaire, radiologique, biologique et chimique, l’infanterie, l’informatique, la logistique et le transport, la maintenance, le renseignement, la restauration, la santé, la sécurité et la prévention, l’administration et les services, l’enseignement, la recherche, ou encore la musique.

Passage de la flamme : la préfecture recommande d’anticiper ses déplacements

Du 26 juillet au 11 août, la France accueillera les Jeux Olympiques d’été pour la première fois depuis un siècle. Avant cela, le relais de la flamme fera étape dans le Doubs le 25 juin 2024. Afin de garantir un bon déroulement de l’événement tout en limitant les perturbations que celui-ci est susceptible d’engendrer, la préfecture du Doubs incite d’ores et déjà la population à prendre quelques précautions.

À Besançon, une haie d’honneur pour accompagner le dernier relais de la flamme olympique

Pour le grand final de la journée olympique dans le Doubs et l’arrivée de la flamme dans le Parc de la gare d’eau à Besançon le 25 juin 2024, le Département a annoncé la constitution d’une haie d’honneur composée de plusieurs personnalités locales.   

Qui sont les personnalités qui porteront la flamme olympique dans le Doubs ?

Un mois avant le début des Jeux olympiques, ce mardi 25 juin, la flamme olympique traversera sept communes du Doubs, avant de rejoindre le site de célébration au parc de la Gare d’Eau à Besançon. Parmi la centaine de porteurs, cinq personnalités participeront au relais de la flamme à Pontarlier, Chaux-Neuve, Baume-les-Dames et Besançon. Qui sont-ils ?

Offre d'emploi

Devenez membre de macommune.info

Publiez gratuitement vos actualités et événements

Offre d'emploi

Sondage

 14.8
ciel dégagé
le 25/06 à 3h00
Vent
2.26 m/s
Pression
1013 hPa
Humidité
94 %