À peine commencée, l’année 2024 est déjà marquée par des cyberattaques sans précédent sur deux organismes français du tiers payant. Les données de santé de plus de 33 millions d’assurés français se retrouvent dans la nature selon la CNIL. Comment savoir si vous êtes concernés et que pouvez-vous faire pour limiter les dégâts ?
Le piratage combiné de Viamedis et Almerys, deux opérateurs du tiers-payant de la Sécurité sociale, est particulièrement préoccupant. Les données collectées par les attaquants concernent plus de 33 millions de personnes, soit environ la moitié des Français. Selon la Commission nationale de l’informatique et des libertés (CNIL), les bases de données compromises comprenaient l’état civil, la date de naissance, le numéro de Sécurité sociale, le nom de l’assureur santé et les garanties du contrat souscrit des assurés sociaux et leur famille.
L’organisme précise que les informations médicales, les remboursements de santé, les coordonnées postales, les numéros de téléphone, les adresses e-mail et les données bancaires ne seraient pas concernés par cette violation.
Comment savoir si vos données sont concernées par cette violation
Comme l’exige la loi, les deux prestataires du tiers payant ont informé la CNIL qu’elles ont été victimes début février d’une cyberattaque. Dans son communiqué du 7 février, le gendarme des données personnelles rappelle « qu'il appartient à chacune des complémentaires santé faisant appel aux prestataires Viamedis et Almerys d’informer individuellement et directement l’ensemble des personnes concernées comme le prévoit notamment le règlement général sur la protection des données (RGPD) ».
Pour savoir si vous êtes concerné par cette violation, vous pouvez donc commencer par vérifier si vous avez reçu un e-mail de votre complémentaire santé. Au regard de l’ampleur de cette violation, toutes les complémentaires touchées ou non ont affiché un message sur leur site Internet pour indiquer si leurs assurés sont concernés ou non par cette fuite de données. L’un des autres moyens les plus efficaces pour savoir si vous faites partie des victimes est de recourir à un système de protection de l’identité tel que Avast BreachGuard, Bitdefender Digital Identity Protection ou, encore, Norton Identity Protection.
Très en vogue ces dernières années, ces services se chargent de protéger vos informations personnelles contre le vol de données, l’usurpation d’identité et la fraude. Pour cela, ils surveillent en permanence les données personnelles de leurs utilisateurs sur le Web et le Dark Web et les alertent en cas de détection. En fonction des offres, ils peuvent analyser un nombre plus ou moins important d’informations : adresse mail, numéro de téléphone, identifiants de jeux en ligne, numéro de carte de crédit, adresse postale, numéro de Sécurité sociale, etc.
Lorsqu'ils détectent une fuite de données, ils fournissent aux utilisateurs tous les détails sur cette dernière (adresse du site concerné, date, type de données, etc.) et les mesures à prendre pour y remédier. Les meilleurs programmes proposent également des experts en restauration d’identité pour vous assister dans vos démarches suite à une violation de données grave avérée. Ce n’est pas tout, certains éditeurs proposent des outils pour vous aider au quotidien à sécuriser au maximum votre empreinte numérique en vous attribuant un score de confidentialité, en surveillant les éventuelles tentatives d’usurpation de l’identité sur les réseaux sociaux, et en divulguant de nombreux conseils. Il existe également des solutions comme Have I Been Pwned ? ou Firefox Monitor pour vérifier si votre adresse a été compromise.
Que faire si vous êtes concerné
Si vous comptez parmi les victimes de cette fuite de données, vous devez être particulièrement prudent dans les jours, les semaines, voire les mois à venir. Il faudra redoubler de vigilance si vous recevez des sollicitations relatives à votre complémentaire santé (remboursements de soins, demande de documents personnels…), mais aussi surveiller régulièrement les activités et les mouvements sur l'ensemble de vos comptes. Même si les données personnelles comme l’adresse e-mail, ou le numéro de téléphone n’ont à priori pas été compromises dans cette fuite de données, il est possible que les attaquants croisent les données collectées avec des informations provenant de fuites de données antérieures.
L’impact de ces cyberattaques pour les victimes est donc potentiellement très important. L’usage frauduleux des données volées peut conduire à une usurpation d’identité, leur revente sur le Dark Web ou, encore, alimenter des campagnes de phishings ciblés. Qu’elles soient consécutives à une erreur humaine, une faille de sécurité ou un piratage comme celui de Viamedis et Almerys, des fuites de données ont lieu toutes les 11 minutes dans le monde ! Fort de ce constat, il est impératif de prendre un maximum de précautions pour les protéger autant de possible.
Quels sont les bons réflexes pour limiter les risques liés aux violations de données
Il n’est pas possible d’enrayer les fuites de données, mais il est possible de limiter les risques en suivant tout d’abord les règles élémentaires d’hygiène numérique. Pour commencer, il ne faut jamais négliger les paramètres de confidentialité des services que vous utilisez (réseaux sociaux, webmail, plateformes de jeux en ligne, etc.) en vous assurant de ne pas valider par exemple le partage de vos informations personnelles avec des tiers.
De manière générale, il est recommandé de partager le moins d' informations personnelles identifiables possible (date de naissance, métier, contacts, adresse postale, etc.) sur les réseaux sociaux, les chats, les forums… Pensez également à supprimer systématiquement les comptes que vous n’utilisez plus. Face à l’ampleur des fuites de données, il faut prendre un maximum de précautions en s’aidant des bons outils de sécurité.
Les VPN et les navigateurs sécurisés
Outre les systèmes de protection de l’identité précités qui constituent un excellent moyen de limiter les dégâts suite à une violation de données, les VPN (Virtual Private Network) permettent de sécuriser vos activités et vos informations en ligne. À condition d’utiliser un VPN fiable connu et reconnu (NordVPN, ExpressVPN, Proton VPN…), ces services masquent votre véritable adresse IP et donc votre emplacement géographique et votre identité en ligne. Cela permet de limiter la quantité de données personnelles exposées lors d’une fuite de données.
Les VPN chiffrent en outre votre trafic Internet qui devient invisible pour les attaquants qui tenteraient de l’intercepter. Cela permet de renforcer vos données personnelles en réduisant le risque de vol ou d’utilisation frauduleuse en cas de fuites. Lorsque vous effectuez des démarches en ligne importantes ou que vous devez effectuer des virements bancaires, vous pouvez également utiliser un navigateur sécurisé (Avast Secure Browser, ou AVG Secure Browser) qui assure votre confidentialité en empêchant le suivi des sites et des cookies, et en chiffrant également le trafic.
Les gestionnaires de mots de passe
Face à l’explosion des fuites de données pouvant exposer vos mots de passe, l’utilisation d’un gestionnaire de mots de passe (NordPass, Dashlane, 1Password, etc.) devient de plus en plus indispensable. Ces programmes constituent un moyen très efficace pour renforcer la sécurité de vos comptes en ligne et de minimiser les dégâts relatifs à ces violations. Ils permettent en effet de générer des mots de passe forts et uniques à la volée pour chaque compte en ligne et compliquer la tâche des hackers qui tentent de deviner ou craquer vos mots de passe à l’aide de logiciels spécialisés.
Autre avantage, ils stockent vos précieux sésames dans une base de données chiffrée et protégée par un mot de passe maître unique. Depuis quelque temps, certains services sont en outre capables de vous alerter en cas de compromission de vos mots de passe suite à une fuite de données. Ils vous assistent ensuite pour vous aider à prendre les mesures adéquates pour modifier les mots de passe concernés. Un bon moyen d’améliorer votre confidentialité et votre sécurité en ligne tout en réduisant les risques liés aux fuites de données.
Devant l'ampleur de cette violation, il faut rester particulièrement vigilant dans les semaines à venir. Méfiez-vous des emails, des SMS, et même des appels téléphoniques semblant provenir de votre complémentaire ou de la CPAM, par exemple. Vérifiez toujours l'identité de votre interlocuteur avant de fournir la moindre information.
Journaliste depuis vingt ans, je ne me lasse pas d’explorer la planète techno à la recherche des dernières innovations. De Paris, à Vegas, en passant par Londres, Taipei, Tokyo, Los Angeles, San Francisco et quelques bourgades bien moins célèbres, la chasse aux infos m’a amené aux quatre coins du monde et la route promet d’être encore longue et fascinante. Cyberguerre, robotique, intelligence artificielle, blockchain, véhicules autonomes, informatique quantique, ou transhumanisme, la révolution ne fait que commencer…
Lire d'autres articles
