La CNIL a révélé cette semaine que deux cyberattaques orchestrées contre deux opérateurs de tiers payants ont entraîné une fuite d’environ 33 millions de profils d’assurés sociaux en France.
C’est en confirmant l’ouverture d’une enquête cette semaine que la CNIL a officialisé deux cyberattaques d’ampleur menées fin janvier contre les opérateurs du tiers payant Almerys et Viamedis. Selon la CNIL, il s’agit là « de la plus grosse faille de sécurité en France ». Ces intrusions dans les systèmes de ces opérateurs ont permis aux cyberattaquants d’exfiltrer 33 millions de profils d’assurés sociaux.
« Les données concernées sont, pour les assurés et leur famille, l’état civil, la date de naissance et le numéro de Sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit » explique la CNIL qui estime par ailleurs que « les informations bancaires, les données médicales, les remboursements santé, les coordonnées postales, les numéros de téléphone ou encore les courriels ne seraient pas concernés par la violation ».
Dès lors, le principal risque de cette attaque est de voir les cyberattaquants croiser ces données exfiltrées avec celles d’autres attaques afin de constituer des profils plus complets afin de notamment mener des attaques de phishing très ciblées. Il faut dès lors s’attendre à voir se multiplier dans les jours et semaines à venir des courriels semblant provenir de la mutuelle et invitant soit à se connecter à Ameli ou à la mutuelle, soit à mettre à jour vos coordonnées bancaires.
Dit autrement, tous les assurés sociaux vont devoir redoubler de vigilance dans les jours et semaines à venir. Au moindre doute, plutôt que de cliquer sur l’email, appelez directement la mutuelle (en utilisant leur site et surtout pas les coordonnées livrées dans l’email) pour vérifier l’authenticité du message.
Pour savoir si vous êtes concernés par cette attaque, n’utilisez surtout pas les liens fournis par certains sites d’information ni même les liens que vous pourriez avoir reçus par email. Il existe une méthode bien plus sûre et infaillible : sortez votre carte complémentaire d’assuré et vérifiez s’il est fait mention de Viamedis ou d’Almerys. Si c’est le cas, vous pouvez vous rapprocher directement de votre mutuelle afin d’avoir un état des lieux précis de l’utilisation de vos données à caractère personnel.
Mise à jour du 09/02/2024 :
Selon les informations recueillies par notre confrère IT for Business, d’autres informations ont été exfiltrées durant ces attaques. Elles ne concernent pas les assurés sociaux mais les professionnels de santé. Or les données les concernant étaient beaucoup plus sensibles que celles des assurés sociaux. Typiquement, les cyberattaquants on pu récupérer des RIB et autres coordonnées bancaires ainsi que les identifiants Login de ces professionnels utilisés pour se connecter aux deux sites attaqués.
Pour plus d’information : La fuite de données qui a impacté Almerys et Viamedis est plus grave qu’anticipée