Deux cyberattaques menées contre des opérateurs de tiers payant ont abouti à l’une des plus massives fuites de données en France. Voici ce que l’on sait.
Quelles entreprises attaquées ?
Viamedis (filiale des complémentaires santé Malakoff Humanis et Vyv) et Almerys (groupe indépendant Be-Ys) sont des opérateurs de tiers payant pour le compte des complémentaires santé. Ils permettent notamment aux professionnels de santé (pharmaciens, opticiens notamment) de vérifier que leur client est bien adhérent d’une complémentaire santé et a bien droit au tiers payant. Almerys revendique ainsi 230 000 professionnels de santé affiliés.
Quel mode d’attaque ?
Le ou les attaquants ont réussi à mettre la main sur des couples identifiants/mots de passe de professionnels de santé. Selon Almerys, une fois connectés, les attaquants ont pu faire une « aspiration des pages d’affichage » des assurés sociaux éligibles au tiers payant, en utilisant « un bot », une procédure automatisée. Les attaquants seraient restés à la périphérie du système d’Almerys, sur un portail ne permettant que des consultations de données. Le système d’information central de l’entreprise « n’a subi aucune intrusion », selon Almerys. L’attaque a eu lieu depuis « 2 adresses IP » qui ont été « identifiées ».
Quelles données volées ?
Selon la Cnil, « les données concernées sont, pour les assurés et leur famille, l’état civil, la date de naissance et le numéro de sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit ». Elles ne contiennent pas a priori les informations cruciales pour des pirates comme les informations bancaires, données médicales, remboursements santé, coordonnées postales, numéros de téléphone, courriels etc. Les données volées ne permettent pas à elles seules de monter des attaques et n’ont quasiment pas de valeur en tant que telles sur le marché noir de la donnée, expliquent les spécialistes. Il n’empêche que si elles sont croisées avec d’autres fichiers par des pirates disposant d’un bon niveau d’organisation, elles permettent de monter notamment des attaques d’hameçonnage (phishing). Le pirate aura à sa disposition des informations lui permettant d’asseoir sa crédibilité aux yeux de sa victime.
Que faire pour se protéger ?
Les complémentaires santé sont tenues par la loi de prévenir individuellement les personnes dont les données ont été volées. Pour les personnes concernées : redoubler de vigilance et appliquer strictement les consignes de sécurité données par tous les opérateurs en ligne, dans le domaine de la santé ou ailleurs. « Il ne faut jamais communiquer par téléphone ou email de données personnelles et/ou bancaires, mots de passe… », rappelle Viamedis. En cas de tentative d’escroquerie, il faut « conserver toutes les preuves (messages, adresse du site web, capture d’écran…) et faire une déclaration sur le site du gouvernement dédié à cet effet, internet-signalement.gouv.fr », indique la même source.
Quid des professionnels de santé ?
Ils auraient aussi été touchés. Selon la fédération des syndicats pharmaceutiques de France (FSPF), Viamedis a indiqué que des adresses emails, login Viamedis, RIB, numéro Siret […] avaient pu être dérobés. Viamedis a mis à disposition des professionnels un numéro vert : 0805 62 00 10
Combien de personnes touchées ?
L’ampleur exacte de la fuite de données est encore floue. Selon la Cnil, la fuite de données « concerne 33 millions de personnes ». Mais il n’est pas certain qu’il y ait réellement aujourd’hui chez des pirates un fichier de 33 millions de noms. Selon les informations connues à ce jour, le chiffre se base sur le nombre de personnes que Viamedis et Almerys avaient référencées, et non sur le nombre de personnes dont les données ont réellement été copiées. Il peut aussi y avoir des doublons, a indiqué un spécialiste à l’AFP.
Quelles conséquences judiciaires et légales ?
La Cnil (protectrice des droits numériques des Français) a lancé une enquête pour déterminer si les deux entreprises avaient bien mis en œuvre les procédures de sécurité requises par la législation européenne sur les données (RGPD). Les deux entreprises ont déposé plainte auprès du procureur de la République. L’Anssi (l’agence de la sécurité informatique française) a été alertée.
Les précédents en France ?
En 2021, l’Assistance publique des Hôpitaux de Paris (APHP) révèle que les données personnelles de 1,4 million de personnes, qui avaient effectué un test Covid, ont été dérobées dans une attaque informatique. Ces données ne comprennent aucun élément médical mais incluent « l’identité, le numéro de sécurité sociale et les coordonnées des personnes testées ».
La même année, une enquête est ouverte par le parquet de Paris sur la fuite de données médicales sensibles de 500 000 personnes dans des laboratoires d’analyse médicale. Celles-ci comprennent des informations sur l’identité des patients et parfois sur leur état de santé (comme un état de grossesse, infection au VIH). Le logiciel de santé Dedalus, utilisé par des laboratoires d’analyses médicales, est identifié comme source de la fuite, après avoir été touché par une attaque informatique. En août 2023, un fichier rassemblant les données de quelque 10 millions de demandeurs d’emploi est proposé à la vente sur le darknet. Des identités et numéros de sécurité sociale ont été mis en ligne, mais sans être associés à des coordonnées (mots de passe ou données bancaires). Ces vols ont le plus souvent des motivations financières, mais pas toujours. Le vol des données relatives aux tests Covid avait été commis par un homme de 22 ans, opposé au pass sanitaire. Il voulait ainsi « démontrer la faiblesse et la faillibilité du système informatique ».
