Piratage de Viamedis et Almerys : quelles précautions prendre ?

les données de 6,9 millions d’utilisateurs de l’entreprise de tests génétiques piratées


Viamedis et Almerys ont annoncé, ces derniers jours, avoir été victimes d’un piratage informatique : à elles deux, ces entreprises assurent le mécanisme du tiers payant pour le compte des complémentaires santé de plusieurs millions d’assurés sociaux en France. Dans un communiqué publié mercredi 7 février, la Commission nationale de l’informatique et des libertés (CNIL), le gendarme des données personnelles, a précisé que « cette fuite de données concerne plus de 33 millions de personnes ».

Pour autant, l’ampleur exacte de cette compromission demeure très floue : à ce stade, il n’est pas possible de dire combien d’assurés ont vu leurs données aspirées par les pirates. Ce chiffre de « 33 millions » est en effet une estimation. « En première analyse, il semblerait que ce volume constitue le nombre réel de personnes dont les données ont été compromises au cours de l’attaque. Les personnes concernées sont celles qui sont assurées et dont les noms apparaissent sur les cartes de complémentaires santé, cela peut être le souscripteur principal tout comme les membres de sa famille assurés avec lui », précise la CNIL, sollicitée par Le Monde.

« Ce volume pourra être revu à la hausse ou à la baisse une fois que la CNIL aura fini ses investigations, qui sont toujours en cours à ce stade », nuance-t-on cependant de même source, précisant que « les organismes victimes de l’attaque travaillent actuellement à la résolution de l’incident afin d’avoir tous les éléments nécessaires ». « Pour l’heure, Almerys ne dispose pas du nombre exact de bénéficiaires impactés par l’exfiltration de données personnelles », confirme, de son côté, une porte-parole de l’organisme, sollicitée par Le Monde.

« Ce volume pourra être revu à la hausse ou à la baisse »

L’enquête diligentée par la CNIL devra aussi vérifier si les mesures de sécurité étaient suffisantes, une exigence du droit des données personnelles. En parallèle, des plaintes pénales ont été déposées par les entreprises victimes.

Comme le rappelle l’organisme de contrôle, ce cadre légal impose aussi aux complémentaires santé d’informer « individuellement et directement » les personnes dont les données ont fuité. Il faudra donc guetter un message de sa mutuelle, qui pourrait arriver dans les prochains jours, voire les prochaines semaines, pour que chaque assuré social puisse savoir si ses données ont été aspirées.

Les données concernées ne sont pas les plus sensibles : la CNIL et les deux plates-formes de tiers payant précisent que ni les informations bancaires ni les données strictement médicales, pas plus que les numéros de téléphone ou les adresses courriels ne sont concernés. Les informations qu’ont pu dérober les pirates sont cependant détaillées : « L’état civil, la date de naissance et le numéro de Sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit », précise la CNIL.

Ces informations peuvent surtout permettre aux pirates de rendre d’éventuelles tentatives de piratage ou d’escroquerie plus ciblées, plus crédibles et donc plus dangereuses. En effet, « bien que les données de contact ne soient pas concernées par la violation », comme le rappelle aussi la CNIL, il est aisé pour les pirates de combiner les informations récoltées à d’autres données volées pour viser les victimes avec des tentatives d’escroquerie.

Et ce d’autant que le secteur de la santé – un sujet qui concerne l’intégralité des Français, parfois central et fréquemment source d’inquiétude – est largement utilisé par les escrocs. Qui n’a pas reçu, sur son téléphone mobile, un message prétendument envoyé par l’Assurance-maladie réclamant la mise à jour de sa carte Vitale ou prétendant un remboursement à effectuer en urgence ? Ce type de message sert généralement d’appât pour convaincre les personnes ciblées de renseigner leur numéro de carte bancaire.

Des précautions basiques peuvent être prises

Dans l’attente d’en savoir davantage sur le nombre de personnes réellement touchées par la cyberattaque ayant visé Viamedis et Almerys, une précaution principale s’impose. Il convient d’être vigilant concernant les messages (SMS et e-mails) semblant émaner des organismes de santé (Ameli, complémentaires santé). S’ils réclament des coordonnées de cartes bancaires, par exemple, il s’agit très certainement d’une arnaque. En cas de doute, ne pas hésiter à contacter directement l’organisme en utilisant sa messagerie interne ou le numéro de téléphone publiquement accessible.

La CNIL recommande également de surveiller ses comptes au sein de sa mutuelle ou du site Ameli, afin d’y repérer d’éventuels changements suspects (modification d’informations personnelles, changement de mot de passe, etc.). D’autres conseils en matière de sécurité numérique demeurent évidemment pertinents, comme l’utilisation de mots de passe robustes et différents pour chaque service.



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.