La Commission nationale de l’information et des libertés (CNIL) annonce l’ouverture d’une enquête après ce piratage touchant près d’un Français sur deux.
« Les données concernées sont, pour les assurés et leur famille, l’état civil, la date de naissance et le numéro de sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit », expose la CNIL dans un communiqué.
Que s’est-il passé exactement ?
Fin janvier, les deux opérateurs de gestion du tiers payant pour les complémentaires santé, Viamedis et Almerys, ont été victime d’un piratage de grande ampleur laissant aux mains des pirates les informations caractérisées par la CNIL ci-dessus. Les données bancaires, médicales ou concernant les remboursements ne font pas partie du généreux butin amassé par les cybercriminels, précise le gendarme des données.
L’alerte a été donnée le 1er février par Viamedis, qui a détecté l’intrusion alors que le mal avait déjà été fait. Quelques jours plus tard, Almerys a également constaté qu’une brèche avait été ouverte dans ses systèmes. Une plainte a immédiatement été déposée auprès du procureur de la République. Almerys a conjointement déconnecté sa plateforme – ce qui n’a pas entraîné de difficulté à se faire rembourser pour les assurés, note l’AFP.
D’après Christophe Candé, le directeur général de Viamedis, « le compte d’un professionnel de santé a été hameçonné », ce qui a permis aux pirates d’usurper son identité afin d’accéder aux systèmes de gestion de l’organisme.
Contactés par l’AFP, les autres plateformes de gestion du tiers payant Sp Santé et Actil ne semblent pas avoir été affectées par un piratage.
Comment savoir si je suis concerné ?
Il n’existe pas pour le moment de moyen fiable à 100% pour savoir si l’on fait partie des malchanceux. Toutefois, on peut déjà se rendre sur le site resopharma.fr depuis son ordinateur ou son smartphone et rechercher le code AMC inscrit sur sa carte de mutuelle afin de savoir si notre complémentaire est gérée par Viamedis ou Almerys. Le cas échéant, on pourra ensuite se rendre sur un site permettant de savoir si notre adresse e-mail a été victime d’un piratage (par exemple : haveibeenpwnd.com). Si tel est le cas, un petit changement de mot de passe sur les plateformes les plus sensibles est une bonne idée.
Ceci étant, les données récoltées par les cybercriminels sont a priori peu sensibles. « Ça ne vaut pas grand-chose comme données, il faudrait qu’il y ait aussi au moins un e-mail et un numéro de téléphone », rassure Damien Bancal, expert animant notamment le blog Zataz.com interrogé par Libération.
Reste que, croisées avec d’autres données ayant potentiellement fuité lors d’un précédent piratage (et ils n’ont pas manqué en 2023), les cybercriminels pourraient parvenir à monter des arnaques notamment en usurpant l’identité des personnes concernées.