Almerys a prévenu ce vendredi Alan d'une cyberattaque sur sa plateforme de tiers-payant. Samedi, la mutuelle a écrit à ses adhérents. Un intrus a récupéré leur état civil, leur numéro de sécurité sociale et leur numéro de contrat.
Almerys gère le tiers-payant pour de nombreuses complémentaires santé en France. Elle sert d'intermédiaire entre l'assuré, le professionnel de santé et la mutuelle au moment du remboursement. Le jeune assureur Alan, est un de ses clients. Donc, quand un pirate s'introduit chez Almerys, les adhérents d'Alan se retrouvent exposés sans avoir eu le moindre contact direct avec la plateforme attaquée.
Alan a précisé quelles informations ont fuité dans son communiqué publié ce samedi. On y trouve l'état civil complet, le numéro de sécurité sociale, le numéro de contrat, le nom de l'assureur et les dates de couverture. En revanche, les coordonnées bancaires, les mots de passe, les adresses et les données de santé n'ont pas été touchés. Alan n'a subi aucune intrusion sur ses propres serveurs. Almerys a coupé son site de prise en charge dès la découverte de l'attaque et les professionnels de santé comme les opticiens ou les hôpitaux pourront rencontrer des blocages au moment de transmettre une demande de remboursement.
Un numéro de sécu suffit à toucher toute une famille
15 452 549 numéros de sécurité sociale uniques se trouveraient dans le fichier mis en vente. Ce chiffre, révélé par French Breaches, pourrait exposer davantage d'assurés. En effet, en France, un même numéro rattache souvent plusieurs personnes. L'assuré principal y relie son conjoint et ses enfants en qualité d'ayants droit. Le pirate s'en vante, disant avoir un accès complet aux informations familiales à partir d'une seule ligne. Par conséquent, chaque numéro vendu dévoile les données de trois ou quatre autres assurés. On compte donc bien plus de victimes potentielles que de comptes piratés.
Autre chose qui intéresse les cybercriminels. On ne change jamais de numéro de sécurité sociale au cours de sa vie, alors qu'on remplace une carte bancaire en quelques jours. Couplé au nom et à la date de naissance, ce numéro d'assuré est le sésame vers l'usurpation d'identité et les fausses démarches administratives. Voilà pourquoi Alan recommande à ses membres de se méfier des SMS, appels et e-mails qui semblent venir d'un organisme de santé.
Almerys piraté pour la deuxième fois en deux ans
Bis repetita placent. Fin janvier 2024, un pirate s'était déjà introduit chez Almerys et chez son concurrent Viamedis, au même moment. Plus de 33 millions de personnes s'étaient alors retrouvées concernées. L'autorité avait ouvert une enquête, et le parquet de Paris une procédure pénale. Deux ans plus tard, ces investigations n'ont toujours pas livré de conclusions publiques. Le même prestataire se fait à nouveau viser, sans qu'on sache encore ce qu'a donné la première enquête.
L'auteur de la revendication, un certain Lagui, dit avoir compromis de nouveau les systèmes du groupe ces derniers jours et affirme qu'aucune double authentification ne protégeait l'accès. Almerys, de son côté, n'a pas confirmé publiquement l'authenticité du fichier mis en vente. Tripalio, site juridique spécialisé en protection sociale, note que la fuite survient pendant l'examen de l'article 21 de la loi contre les fraudes. Ce texte, encore soumis au Conseil constitutionnel, autorise les plateformes de tiers-payant à traiter des données de santé à caractère personnel.
Alan n'a pas reçu la liste des personnes touchées et a préféré prévenir l'ensemble de ses adhérents par précaution. La mutuelle a notifié l'ACPR et prépare une notification à la CNIL. Les victimes de la fuite de 2024 avaient pu déposer plainte en ligne via un formulaire de Cybermalveillance.gouv.fr, sans passer au commissariat.
Source : Alan
