May 12, 2024
NEWS

Cyberattaque : cinq questions sur le piratage massif de nos données de santé

Claudio Ctin010 mins
Cyberattaque : cinq questions sur le piratage massif de nos données de santé

Etat civil, numéro de sécurité sociale, informations sur la mutuelle : “plus de 33 millions” de Français sont concernés par un vol de données lors d’une cyberattaque contre des gestionnaires du tiers payant, a révélé mercredi la Cnil.

Comment ce piratage s’est-il produit ?

Deux sociétés servant d’intermédiaires entre les professionnels de santé – médecins, pharmaciens, opticiens, etc. – et les complémentaires santé ont été la cible d’une attaque : Viamedis (détenue notamment par les complémentaires Malakoff Humanis et VYV) et Almerys. Ce sont les opérateurs qu’un professionnel de santé interroge pour savoir s’il peut accorder ou non le tiers payant à un assuré social.

L’attaque s’est faite par l’usurpation des identifiants et des mots de passe de professionnels de santé. L’alerte a été donnée le 1ᵉʳ février par Viamedis, qui a détecté l’attaque, déconnecté sa plateforme de gestion dès la découverte de l’intrusion et averti les autres plateformes de tiers payant. Quelques jours plus tard, Almerys a annoncé avoir également détecté une intrusion. Le directeur général de Viamedis, Christophe Candé, a expliqué qu’il s’agissait non pas d’une attaque par “rançongiciel”, mais d’une intrusion dans la plateforme. “Le compte d’un professionnel de santé a été hameçonné”, a-t-il révélé.

Almerys et Viamedis n’ont publié aucune information permettant de comprendre si les attaques avaient simplement pour but de voler des données ou si elles pouvaient viser d’autres objectifs, comme implanter un rançongiciel. Viamedis a par ailleurs déposé une plainte auprès du procureur de la République. Les autres grandes plateformes de tiers payant ne semblent pas avoir été touchées, selon des informations recueillies par l’AFP auprès notamment de SP Santé (filiale de Cegedim) et d’Actil (filiale d’Apicil).

Quelles sont les données concernées ?

“Plus de 33 millions de personnes [sont concernées par une violation de données, qui comprend] pour les assurés et leur famille : l’état civil, la date de naissance et le numéro de sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit”, a précisé dans un communiqué la Cnil.

Mais, selon le gendarme de la vie privée numérique, “les informations bancaires, les données médicales, les remboursements de santé, les coordonnées postales, les numéros de téléphone, [ou encore les adresses électroniques] ne seraient pas concernés”.

Quels sont les risques ?

Selon des spécialistes de la cybersécurité interrogés ces derniers jours par l’AFP, les données exposées n’ont pas une grande valeur en tant que telles, mais peuvent éventuellement servir à de futures cyberattaques. “Ça ne vaut pas grand-chose, comme données, il faudrait qu’il y ait aussi au moins un e-mail et un numéro de téléphone [pour qu’elles permettent de monter des attaques rapidement]”, assure Damien Bancal, grand observateur du marché noir de la donnée volée et animateur de Zataz.com, un site français d’information traitant principalement de la délinquance informatique.

Tamim Couvillers, analyste de la société de cybersécurité Vade, confirme que ces données ont peu de valeur marchande, mais avertit qu’elles “peuvent vite être croisées avec d’autres fichiers”. Ainsi, souligne-t-il, avoir le numéro de sécurité sociale de sa cible “permet de donner de la crédibilité à un courriel de phishing [hameçonnage]”, consistant à inciter l’internaute de cliquer sur un lien malveillant. “C’est de la donnée fraîche”, a également commenté l’expert en cybersécurité Gérôme Billois, de la société Wavestone.

Que peuvent faire les personnes concernées ?

Pour savoir si des informations vous concernant, particulièrement votre numéro de sécurité sociale, sont potentiellement dans la nature, il est possible de se rendre sur le site Resopharma.fr. Ce site permet de savoir si votre assurance santé est gérée par l’un de ces deux prestataires concernant le tiers payant.

La Cnil conseille aux personnes victimes de ce vol de données “d’être prudent [es] sur les sollicitations [qu’elles peuvent] recevoir, en particulier si elles concernent des remboursements de frais de santé, [mais aussi] de vérifier périodiquement les activités et mouvements sur [leurs] différents comptes”. “[Il est en effet] possible que les données ayant fait l’objet de la violation soient couplées à d’autres informations provenant de fuites de données antérieures”.

En outre, en cas de doute, il est conseillé de changer le mot de passe de l’adresse e-mail associée à sa mutuelle et à son espace personnel sur Ameli. “Le numéro de sécurité sociale est unique. On ne peut pas le changer. En revanche, le mot de passe associé doit aussi être unique. Vous devez le modifier par sécurité, afin d’éviter que quelqu’un ne rentre dans votre compte, que ce soit celui de la mutuelle ou de votre service Ameli”, explique à TF1 Luména Duluc, experte en cybersécurité et directrice du Club de la sécurité de l’information français (Clusif).

Comment prévenir ce genre de piratages à l’avenir ?

“Devant l’ampleur de la violation”, la Cnil a annoncé qu’elle allait “mener très rapidement des investigations”, notamment pour vérifier si les mesures de sécurité des opérateurs touchés par la cyberattaque étaient conformes à leurs obligations de protection des données. Elle a aussi appelé les complémentaires recourant à Viamedis et Almerys à informer “individuellement et directement” tous leurs assurés concernés, prévenant qu’elle s’assurera que ce soit fait “dans les plus brefs délais”.

Leave a Reply

Your email address will not be published. Required fields are marked *

Stiri similare