Une cyberattaque XXL. Un Français sur deux est concerné par le vol des données de deux sociétés servant d'intermédiaires entre les professionnels de santé - médecins, pharmaciens, opticiens... - et les complémentaires santé. Les deux sociétés victimes, Viamedis (détenue notamment par les complémentaires Malakoff Humanis et Vyv) et Almerys, font partie des opérateurs qu'un professionnel de santé interroge pour savoir s'il peut accorder, ou non, le tiers payant à un assuré social.
« Plus de 33 millions de personnes » sont concernées par une violation de données « pour les assurés et leur famille : l'état civil, la date de naissance et le numéro de sécurité sociale, le nom de l'assureur santé ainsi que les garanties du contrat souscrit », a précisé la Cnil .
Mais selon le gendarme de la vie privée numérique, « les informations bancaires, les données médicales, les remboursements santé, les coordonnées postales, les numéros de téléphone » ou encore les adresses électroniques « ne seraient pas concernées ».
Les Français concernés invités à la prudence
Aux Français touchés, il est conseillé « d'être prudent sur les sollicitations qu'ils peuvent recevoir, en particulier si elles concernent des remboursements de frais de santé » mais aussi « de vérifier périodiquement les activités et mouvements sur leurs différents comptes ». Il est en effet « possible que les données ayant fait l'objet de la violation soient couplées à d'autres informations provenant de fuites de données antérieures », explique la Cnil.
Selon des spécialistes de la cybersécurité interrogés ces derniers jours par l'AFP, les données exposées n'ont pas une grande valeur en tant que telles mais peuvent éventuellement servir à de futures cyberattaques. « Ça ne vaut pas grand-chose comme données, il faudrait qu'il y ait aussi au moins un e-mail et un numéro de téléphone » pour qu'elles permettent de monter des attaques rapidement, selon Damien Bancal, grand observateur du marché noir de la donnée volée, et animateur du blog Zataz.com.
« Convaincre l'internaute de cliquer sur un lien malveillant »
Tamim Couvillers, analyste de la société de cybersécurité Vade, confirme que ces données ont peu de valeur marchande, mais avertit qu'elles « peuvent vite être croisées avec d'autres fichiers ». Ainsi, souligne-t-il, avoir le numéro de sécurité sociale de sa cible « permet de donner de la crédibilité à un courriel d'hameçonnage (phishing) », consistant à convaincre l'internaute de cliquer sur un lien malveillant.
L'attaque s'est faite par l'usurpation d'identifiant et mot de passe de professionnels de santé. L'alerte avait été donnée le 1er février par Viamedis qui a détecté l'attaque et averti les autres plateformes de tiers payant. Quelques jours plus tard, Almerys avait annoncé avoir également détecté une intrusion. Les autres grandes plateformes de tiers payant ne semblent pas avoir été touchées, selon des informations recueillies par l'AFP auprès notamment de SP Santé (filiale de Cegedim) et de Actil (filiale d'Apicil).
« Devant l'ampleur de la violation », la Cnil va « mener très rapidement des investigations » notamment pour vérifier si les mesures de sécurité des opérateurs touchés par la cyber-attaque étaient conformes à leurs obligations de protection des données. Elle a aussi appelé les complémentaires recourant à Viamedis et Almerys à informer « individuellement et directement » tous leurs assurés concernés, prévenant qu'elle s'assurera que ce soit fait « dans les plus brefs délais ».
Almerys et Viamedis n'ont publié aucune information permettant de comprendre si les attaques avaient simplement pour but de voler des données, ou si elles pouvaient viser d'autres buts comme implanter un rançongiciel. Almerys a indiqué mercredi que son système d'information central n'avait pas été touché par la cyber-attaque. Seul son « portail dédié aux professionnels de santé » a été touché et fermé, a affirmé la société.
En juin 2023, policiers et gendarmes ont procédé à un vaste coup de filet en interpellant en France et en Belgique 19 personnes soupçonnées d'escroquerie à la fausse convocation judiciaire pour un préjudice évalué à au moins 3,5 millions d'euros. L'escroquerie à la fausse convocation judiciaire consiste à envoyer, au nom de responsables de la gendarmerie ou de la police, de magistrats ou d'institutions comme Europol, des courriels à des personnes indéterminées en les accusant notamment de pédopornographie via la consultation de sites internet illégaux. Les victimes sont menacées de poursuites judiciaires sauf si elles paient une « amende ». Cette pratique touche le monde entier. En décembre 2023, la police australienne a inculpé un homme pour l'envoi d'environ 17 millions de SMS frauduleux, soit environ un pour chaque adulte vivant dans le pays. Des utilisateurs de téléphones portables vivant à travers tout le pays ont reçu des messages qui contenaient de faux liens censés provenir de l'entreprise Australia Post ou de concessionnaires de routes à péage. Ils auraient été envoyés à l'aide de « boîtes SIM » capables d'envoyer des dizaines de milliers de SMS par jour contenant des appâts destinés à harponner des victimes.Les campagnes d'hameçonnage, un véritable fléau
(Avec AFP)
