Plus 33 millions de personnes concernées : les questions qui se posent après le vol massif de données d’assurés médicaux
Date de naissance, numéro de Sécurité sociale et état civil de potentiellement 33 millions de personnes ont été dérobés après des cyberattaques ayant visé Viamedis et Almerys, deux entreprises gestionnaires de tiers payant, a révélé la Cnil. Qui est concerné et quelles sont les précautions à prendre ?
Une violation de grande ampleur. « Plus de 33 millions de personnes » sont concernées par un vol de données ayant affecté Viamedis et Almerys, deux entreprises gestionnaires de tiers payants, a révélé la Commission nationale de l’informatique et des libertés (Cnil) ce mercredi, qui annonce mener des « investigations ».
Les deux opérateurs, intermédiaires entre les professionnels de santé et les complémentaires santé, ont été ciblés par une attaque informatique fin janvier-début février, faite par l’usurpation d’identifiant et de mot de passe de professionnels de santé.
Quelles données ont été piratées ?
Selon la Cnil, les données concernées sont « l’état civil, la date de naissance, le numéro de Sécurité sociale, le nom de l’assureur de santé et les garanties du contrat souscrit » pour les assurés et leurs familles. En revanche, « les informations bancaires, les données médicales, les remboursements santé, les coordonnées postales, les numéros de téléphone », ainsi que les adresses électroniques, ne « seraient pas concernés » par cette violation.
Pour les professionnels de santé, la situation est plus critique. D’après une communication de Viamedis à la Fédération des syndicats pharmaceutiques de France (FSPF), qu’elle détaille sur son site Internet, les pirates ont récupéré la raison sociale, l’adresse électronique, le nom, le prénom, l’adresse électronique voire le RIB, le et numéro de Siret de certains pharmaciens, audioprothésistes ou encore opticiens. « Les professionnels de santé concernés (dont les pharmaciens) ont fait l’objet d’une communication ciblée », indique la FSPF.
Viamedis, opérant le tiers payant de 84 organismes d’assurance complémentaire santé, avait fait état de 20 millions de clients potentiellement concernés par cette fuite de données. Une plainte a été déposée auprès du procureur de la République, avait-il également indiqué. La Cnil ayant évoqué « plus de 33 millions de personnes » concernées, il faut penser que 13 millions de clients au moins sont visés chez Almerys. Auprès du Parisien, l’Assurance Maladie indique qu’elle a été informée de cet incident et qu’elle « suit attentivement les développements de ce dossier en lien avec les acteurs concernés. »
Comment savoir si vous êtes concernés ?
Sur son site Internet, la Cnil précise qu’elle « n’est pas en mesure » d’indiquer aux usagers s’ils sont concernés par cette violation de données. C’est aux complémentaires de santé qui font appel aux opérateurs Viamedis et Almerys d’informer chacune des victimes, conformément aux dispositions du règlement général sur la protection des données (RGPD).
Certaines entreprises ont déjà commencé à prévenir leurs clients. Pacifica, branche assurance du Crédit agricole, a publié un message d’information sur son site Internet, le 2 février. « Dès que Viamedis a eu connaissance de cet acte de violation, la plateforme a été immédiatement déconnectée », indique-t-elle. Viasanté Mutuelle, du groupe AG2R La Mondiale, rassure également. « Dès que nous avons eu connaissance de cet incident et par mesure de précaution, nous avons immédiatement suspendu la création en ligne de nouveaux comptes sur nos espaces client, renforcé nos contrôles de remboursement de frais de santé », peut-on lire en page d’accueil de son site Internet.
La Cnil doit désormais s’assurer que les clients concernés par la fuite de données soient prévenus dans « les plus brefs délais ». Pour savoir si votre mutuelle est en lien avec les deux prestataires victimes de l’attaque, vous pouvez regarder sur votre carte assuré si le nom de Viamedis ou Almerys est mentionné. Vous pouvez également vous rapprocher de votre mutuelle.
Quelles sont les précautions à prendre ?
La Cnil conseille de rester vigilant, particulièrement sur les sollicitations qui pourraient être reçues concernant des remboursements de frais de santé et de surveiller régulièrement les mouvements sur ses différents comptes. « Il faudra faire attention lors des prochains mois aux échanges avec tous les acteurs de la santé », ajoute Pauline Mediela, experte en cybersécurité du cabinet de conseil Finegan, contactée par Le Parisien. Vous pouvez également changer vos mots de passe par précaution.
Si la violation ne concerne pas directement les données de contact des personnes concernées, ces informations peuvent être croisées avec d’autres fichiers, provenant de fuites antérieures. « Ce sont des données déjà sensibles qui le deviennent encore plus si elles sont recroisées avec des données bancaires d’une autre base de données dérobée », précise Pauline Mediela.
Les informations telles que le numéro de sécurité sociale ou encore le nom de l’assureur peuvent aussi permettre de crédibiliser des tentatives d’hameçonnage (phishing) par courriel ou par SMS. Une forme d’arnaque qui a pour objectif d’inciter un usager à ouvrir un fichier malveillant ou de récupérer certaines informations, notamment des coordonnées bancaires. Pauline Mediela, experte en cybersécurité, anticipe « des faux emails qui émanent des mutuelles pour demander un changement de mot de passe ou un paiement en retard à honorer ».
La Cnil rappelle que des signalements sont possibles en cas de réception d’un mail ou d’un SMS suspect via « Signal Spam », la plateforme Pharos, disponible sur le site de signalement du gouvernement pour les contenus illicites, ou encore par SMS au 33 700 pour les messages textes abusifs.
