Cyberattaque chez Viamedis et Almerys : ce que l'on sait du vol de données de plus de 33 millions d'assurés en France
Un Français sur deux concernés. Plus de 33 millions d'assurés sociaux chez les opérateurs du tiers payant Viamedis et Almerys ont été touchés par un piratage, fin janvier. La Commission nationale de l'informatique et des libertés (Cnil) a annoncé sur son site avoir ouvert une enquête, mercredi 7 février. La Cnil a dénoncé une opération d'"ampleur" et a été informée de cette attaque informatique par les deux sociétés visées. Ces opérateurs ont pour mission de gérer le tiers payant des complémentaires santé. Franceinfo vous résume ce que l'on sait de cette cyberattaque massive.
Une violation d'une ampleur exceptionnelle
L'attaque a eu lieu via l'usurpation d'identifiants et de mots de passe de professionnels de santé. L'alerte avait été donnée le 1er février par Viamedis, qui a averti les autres entreprises spécialisées dans le tiers payant. Elle a assuré avoir déconnecté sa plateforme de gestion après la découverte de l'intrusion, ce qui n'empêchait pas les assurés de bénéficier du tiers payant. Son directeur général, Christophe Candé, a expliqué qu'il ne s'agissait pas d'une attaque par rançongiciel (un logiciel malveillant ou virus qui bloque l'accès tant que de l'argent n'a pas été versé en contrepartie).
Quelques jours plus tard, Almerys a annoncé avoir également détecté une intrusion. Elle a précisé que son système d'information central n'avait pas subi d'attaque. Seul son "portail dédié aux professionnels de santé" a été touché et fermé, a déclaré la société. Les autres grandes plateformes de tiers payant ne semblent pas avoir être concernées, selon des informations recueillies par l'AFP auprès notamment de SP santé (filiale de Cegedim) et de Actil (filiale d'Apicil).
"Les données concernées sont, pour les assurés et leur famille, l'état civil, la date de naissance et le numéro de Sécurité sociale, le nom de l'assureur santé ainsi que les garanties du contrat souscrit", écrit la Cnil dans son communiqué. "Les données telles que les informations bancaires, les données médicales, les remboursements santé, les coordonnées postales, les numéros de téléphone ou encore les courriels ne seraient pas concernées par la violation", complète la commission. "C'est la première fois qu'il y a une violation d'une telle ampleur", a assuré jeudi sur franceinfo Yann Padova, avocat spécialiste de la protection des données numériques et ancien secrétaire général de la Cnil. Selon lui, il s'agit de "la plus grosse faille de sécurité en France".
Difficile de savoir si un assuré est concerné par l'attaque
Dans son communiqué, la Cnil précise ne pas être en mesure de stipuler si une personne est concernée ou non, Viamedis et Almerys étaient des sociétés intermédiaires entre les professionnels de santé et les complémentaires. L'autorité a appelé les complémentaires recourant à ces deux groupes à informer "individuellement et directement" tous leurs assurés concernés, prévenant qu'elle s'assurerait que ce soit fait "dans les plus brefs délais".
"Votre première démarche doit être d'appeler votre mutuelle ou votre complémentaire pour savoir si elles étaient en relation avec ces deux entreprises qui ont fait l'objet de la faille de sécurité", conseille Yann Padova. Il précise que les entreprises "ont l'obligation en droit européen d'informer les personnes".
Des données qui peuvent servir aux pirates dans le futur
Selon des spécialistes de la cybersécurité interrogés par l'AFP, les données exposées n'ont pas une grande valeur en tant que telles. "Il faudrait qu'il y ait aussi au moins un e-mail et un numéro de téléphone" pour qu'elles permettent de monter des attaques rapidement, avance Damien Bancal, observateur du marché noir des données volées et animateur du blog Zataz.com. Tamim Couvillers, analyste de la société de cybersécurité Vade avertit cependant qu'elles "peuvent vite être croisées avec d'autres fichiers" et servir à de futures cyberattaques. Avoir le numéro de Sécurité sociale de sa cible permet ainsi "de donner de la crédibilité à un courriel de hameçonnage (phishing)", illustre-t-il.
"Le risque pour les personnes est assez important, notamment les escroqueries, le phishing par exemple, ou l'usurpation d'identité."
Yann Padova, ancien secrétaire général de la Cnilà franceinfo
L'ex-secrétaire général de la Cnil appelle à faire preuve "de vigilance et de précaution" au moment d'ouvrir un mail. "Si vous trouvez qu'il y a un mail curieux qui vous est arrivé et qui a l'air de venir de votre mutuelle, alors appelez-la" pour vérifier, recommande-t-il. "C'est de la donnée fraîche", résume à l'AFP Gérôme Billois, spécialiste en cybersécurité de la société Wavestone. Almerys et Viamedis n'ont publié aucune information permettant de comprendre si les attaques avaient simplement pour but de voler des données, ou si elles pouvaient viser d'autres buts comme implanter un rançongiciel.
Une enquête a été ouverte
Viamedis a déposé une plainte auprès du procureur de la République. "Devant l'ampleur de la violation", la Cnil va "mener très rapidement des investigations" notamment "pour déterminer si les mesures de sécurité mises en œuvre préalablement à l'incident et en réaction à celui-ci étaient appropriées au regard des obligations du règlement général sur la protection des données", a déclaré sa présidente Marie-Laure Denis.
Lancez la conversation
Connectez-vous à votre compte franceinfo pour commenter.