Lors des cyberattaques fin janvier visant les opérateurs Viamedis et Almerys, les données de plus de 33 millions de personnes ont été compromises. Information annoncée ce mercredi 7 février par la Commission nationale de l’informatique et des libertés (CNIL).
33 millions de personnes concernées par les cyberattaques contre Viamedis et Almerys
Viamedis et Almerys sont deux spécialistes du tiers payant. Ils ont pour mission de gérer le tiers payant des complémentaires santé. L’alerte donnée en début février, la Cnil va « mener très rapidement des investigations ».
Viamedis et Almerys : quelles données ont été compromises ?
Plus de 33 millions de personnes sont concernées par ces cyberattaques. D’après le communiqué de la Cnil, plusieurs données des assurés et de leur famille en sont concernées. Il s’agit notamment de l’état civil, la date de naissance et le numéro de Sécurité sociale. Mais aussi le nom de l’assureur santé ainsi que les garanties du contrat souscrit. En revanche, les informations bancaires, les données médicales et les remboursements santé « ne seraient pas concernés par la violation », poursuit-elle. Pareil pour les coordonnées postales ou encore les numéros de téléphone . A ce stade, l’organisme n’est pas encore en mesure d’indiquer quels assurés sont concernés. Mais elle invite les complémentaires ayant recours à Viamedis ou à Almerys à informer « individuellement et directement » les assurés concernés par cette violation.
La Cnil appelle à la prudence
« Devant l’ampleur de la violation », la Cnil va « mener très rapidement des investigations » pour vérifier si les mesures de sécurité de ces opérateurs étaient conformes à leurs obligations. En s’assurant que ce soit fait « dans les plus bref délais ». Elle conseille également aux Français victimes de la violation d’ « être prudent sur les sollicitations qu’ [ils peuvent] recevoir, en particulier si elles concernent des remboursements de frais de santé », mais aussi « de vérifier périodiquement les activités et mouvements sur [leurs] différents comptes ». En cela, la Cnil explique qu’il est « possible que les données ayant fait l’objet de la violation soient couplées à d’autres informations provenant de fuites de données antérieures ».
Par usurpation d’identifiants et de mot de passe
L’alerte avait été donnée en début févier. D’ailleurs, Viamedis a déposé une plainte auprès du procureur de la République. Il avait indiqué avoir déconnecté sa plateforme de gestion après la découverte de l’intrusion. Par conséquent, cela n’empêchait pas les assurés sociaux de bénéficier du tiers payant. D’après son directeur général Christophe Candé, il ne s’agissait pas d’une attaque par rançongiciel, mais d’une intrusion dans la plateforme. « Le compte d’un professionnel de santé a été hameçonné », a-t-il révélé. De son côté, Almerys a déclaré mercredi que seul son « portail dédiés aux professionnels de santé » a été touché et fermé. Les cyberattaques se sont faites par l’usurpation d’identifiants et de mots de passe de professionnels de santé. Les deux spécialistes du tiers payant n’ont par ailleurs publié aucune information permettant de comprendre si le but des attaques était le vol de données ou implanter une rançongiciel.