Un nouveau prestataire de santé français touché par une cyberattaque visant les données personnelles des assurés

Publié le 07 février 2024 à 08h39

De nouvelles informations personnelles ont été dérobées chez des spécialistes de la mutuelle © Pixavril / Shutterstock

Les cybercriminels ont faim de données personnelles. Almerys, un spécialiste du tiers payant, a été victime d’une cyberattaque et a vu les numéros de sécurité sociale de nombreux assurés fuiter.

C’est une histoire qui n’en finit pas. Quelques jours à peine après une attaque d’ampleur visant le spécialiste en mutuelle santé Viamedis, c’est une autre entreprise du même type qui vient de subir une intrusion dans ses systèmes informatiques. Almerys, partenaire d’organismes comme la Mutuelle Générale, l’assurance santé de la Banque Postale ou encore AG2R La Mondiale, a été victime d’un piratage ayant exposé les données de ses assurées, explique l’AFP.

Numéros de sécu, dates de naissance, noms et prénoms…

Si l’on ne connaît, pour le moment, pas le nombre exact de victimes concernées, les noms, prénoms, dates de naissance, numéros de sécurité sociale ainsi que les numéros de contrat de l’assureur de très nombreux Français et Françaises ont pu être dérobés lors de l’attaque. L’entreprise tient tout de même à préciser que les coordonnées postales, les numéros de téléphone ainsi que les adresses mail « ne sont en aucun cas concernés par cette compromission ».

La méthode d’attaque ressemble, à priori, comme deux gouttes d’eau à celle employée contre Viamedis. L’usurpation d’identité de professionnels de santé a permis à des pirates malveillants de se connecter à la plateforme dédiée, permettant ensuite d’accéder plus aisément aux restes des informations hébergées par Almerys.

Face à la multiplication de ses attaques, le Rassemblement des opticiens de France (ROF), syndicat majoritaire dans la profession, a exigé que « l’ensemble des plateformes de santé » fassent preuve « d’une extrême vigilance » et offrent « des garanties accrues en termes de sécurités des données ». Almerys a annoncé mettre en place une « surveillance active et des mesures de contrôle renforcées […] pour détecter toute activité suspecte ».

Attention au phishing

Le portail a été fermé, mais l’entreprise indique que « les services fonctionnent normalement » et qu’aucun assuré ne devrait avancer de frais durant la période de rétablissement du système. Une plainte a été déposée auprès du procureur de la République et une notification a été envoyée à la Cnil, comme la loi l’exige.

Comme toujours avec ce genre d’attaques, le risque immédiat est de se faire avoir par une tentative d’hameçonnage. Avec un paquet d’informations personnelles comme celui-là, il devient aisé de se faire passer pour un organisme de santé légitime et de vous dérober encore plus de données en prétextant n’importe quels soucis avec un remboursement médical. Soyez donc attentifs à tout courrier un peu trop alarmistes concernant votre mutuelle dans les prochaines semaines.

Carte Vitale

Dématérialisation
Accessibilité
Fonctionnalités supplémentaires

8 / 10

Télécharger

Source : Le Monde

Par Corentin Béchade

Journaliste depuis quasiment 10 ans, j’ai écumé le secteur de la tech et du numérique depuis mes tout premiers chapôs. Bidouilleur (beaucoup), libriste (un peu), j’ai développé une spécialisation sur les thèmes de l’écologie et du numérique ainsi que sur la protection de la vie privée. Le week-end je torture des Raspberry Pi à grands coups de commandes 'sudo' pour me détendre.

Articles de Corentin Béchade

Phishing

Logiciels & services

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

zztop69

En gros , elles risquent quoi , ces societes passoires ?

ti4444

Je ne comprends pas pourquoi ces prestataires ne sont pas audités par l’anssi ou par des boites spécialisés. Merde, ils utilisent des données de santé et personne ne dit rien. Déja qu’une partie va allée chez Microsoft ( ce qui est une honte ) ça suffit

Murphy-Law

Je lis :
« L’usurpation d’identité de professionnels de santé a permis à des pirates malveillants de se connecter à la plateforme dédiée »

Normalement l’accès par les professionnels à ce genre de plateforme de données médicales nominatives est sécurisé par l’utilisation d’un lecteur de carte à puce et d’ une carte CPS, contenant une puce cryptographique associée au professionnel de santé…
Le site ne répondait pas à cette exigence ?

romu79

Des grosses amendes.
Mais comme d’habitude, le « consommateur », lui, n’a jamais le droit à une compensation…

mrassol

ce n’est parce qu’elles sont auditées qu’elles sont impénétrables …

Rainforce

Pour certaines si, quand même !
Ok, je m’excuse.

ti4444

c’est pas faux mais ça me semble être la base à minima.

LeTof

A mon avis, comme pour l’autre hack, le plus gros problème n’est pas les tentatives de phishing mais l’usurpation d’identité qui est, de très loin, un plus gros problème et bien plus durable, avec des effets catastrophiques que la perte de centaines d’euros. Oui, il faut relativiser: entre se faire interdire à vie de compte bancaire, avoir un casier judiciaire, être recherché par la police… ou se faire prélever un montant qu’on pourra ensuite se faire rembourser par sa banque, je crois qu’il y a un beau seuil… hélas. Et, pour le moment, pas de solution viable de certification d’identité à l’échelle nationale (ou europénne)

mrassol

Qui te dit qu’ils ne sont pas audités ? Qui te dit que le problème n’est pas tout simplement humain ?

ti4444

je ne dis pas le contraire mais le problème c’est toujours un manque de suivi on n’est jamais à l’abri d’un zero day. Mais entre un zero day et une grave faille de conception il y a un monde je pense