Décryptage Fuite de millions de numéros de Sécurité sociale : êtes-vous concernés, quels sont les risques, que pouvez-vous faire ?

par Elise Viniacourt   publié le 8 février 2024 

Selon une première estimation, plus de 33 millions de Français seraient concernés par un vol de données survenu lors d’une cyberattaque contre deux géants de la gestion du tiers payant, Viamedis et Almerys. Comment savoir si l’on est concerné, que risque-t-on, que faire si l’on est victime… «Libé» livre son kit de survie.

Photo d'illustration. (Ugo Padovani/Hans Lucas.AFP)

Le monde de l’assurance est en pleine incertitude. Selon une première estimation de la Commission nationale de l’informatique et des libertés (Cnil), plus de 33 millions de personnes sont concernées par un vol massif de données. «Ce volume pourra être revu à la hausse ou à la baisse une fois que la Cnil aura fini ses investigations, qui sont toujours en cours à ce stade», précise-t-elle ce jeudi 8 février auprès du Monde. Noms, états civils, numéros de Sécurité sociale, dates de naissance, noms des assureurs et garanties de contrat : le braquage est intervenu lors d’un piratage ayant ciblé Viamedis et Almerys, poids lourds de la gestion du tiers payant pour des complémentaires santé. Les informations bancaires des particuliers ne figurent pas dans la fuite, à l’inverse du RIB et de la raison sociale des professionnels passant par ces services. La Commission, qui a révélé l’ampleur de l’affaire mercredi 7 février, s’apprête à mener des investigations pour vérifier la conformité des mesures de sécurité prises par les deux opérateurs. En attendant, Libé répond à trois questions que les victimes de ce casse numérique peuvent se poser.

Comment savoir si vos données ont été volées ?

Sur ce point, le gendarme de la vie privée en ligne est implacable : les clients concernés doivent être alertés le plus rapidement possible. Ces derniers jours, rapportent RTL, Viamedis et Almerys – qui avaient annoncé à cinq jours d’intervalle avoir été victimes de cyberattaques – ont commencé à prévenir leurs clients actuels et passés qu’ils figuraient potentiellement parmi les personnes lésées. A eux deux, les gestionnaires comptabilisent 40 millions d’assurés sociaux et plus de 200 000 adhérents professionnels.

Mais pour que les clients spécifiquement concernés en aient le cœur net, la Cnil renvoie la balle dans le camp des complémentaires ayant recours à Viamedis et Almerys. Charge à elles d’informer«individuellement et directement» l’ensemble de leurs membres visés par cette violation des données, comme l’oblige d’ailleurs le Règlement général sur la protection des données (RGPD). La commission prévient : elle s’assurera que ce soit fait «dans les plus brefs délais». Pour les assurés souhaitant prendre les devants, il est aussi possible de contacter sa mutuelle directement pour lui demander si elle est liée à l’un des deux prestataires.

Concrètement, que risquez-vous ?

Dans la farandole des données ayant été siphonnées, celles relatives à l’assureur, aux garanties de contrat et le numéro de Sécurité sociale figurent parmi les plus sensibles. D’abord, parce que ce dernier, identifiant unique et définitif attribué à chaque Français, est un élément clé de diverses démarches administratives. Autrement dit, impossible de le changer comme on pourrait modifier un mot de passe corrompu. Surtout, son vol augmente les risques d’usurpation d’identité, dont 200 000 Français seraient victimes chaque année d’après l’association France Victimes. Des cybercriminels peuvent associer ce numéro à d’autres informations, révélées dans des fuites de données antérieures, reconstituer l’identité de leur victime et souscrire par exemple à des crédits à la consommation.

Aussi, ces données chipées et très personnelles permettent aux malfrats de ciseler des attaques de phishing sur mesure – cette technique qui consiste à envoyer des mails ou SMS malveillants conçus pour tromper et escroquer les utilisateurs. Et donc particulièrement convaincantes. Certaines victimes peuvent ainsi recevoir de faux mails ou des SMS. Leurs auteurs se font alors passer pour certains services, comme l’Assurance maladie, et tentent de rediriger leurs destinataires vers des sites frauduleux. L’objectif ? Les manipuler pour les amener à communiquer leurs coordonnées bancaires. Ici, les Français concernés pourraient réceptionner de fausses demandes de remboursements de frais de santé.

Que pouvez-vous faire ?

Concernant le risque de phishing, la Cnil conseille aux Français touchés d’«être prudents sur les sollicitations qu’[ils peuvent] recevoir, en particulier si elles concernent des remboursements de frais de santé». En cas de doute, mieux vaut vérifier la source en contactant directement l’autorité dont le mail est censé émaner. N’y répondez pas et – surtout – ne cliquez sur aucun lien ou pièce jointe associée.

En outre, la commission préconise aussi «de vérifier périodiquement les activités et mouvements sur [leurs] différents comptes». En effet, pour s’authentifier sur la plateforme Franceconnect, qui permet de s’identifier à certaines administrations en ligne, les codes de l’Assurance maladie (et donc le numéro de Sécurité sociale) peuvent être utilisés. Impots.gouv.fr, Ameli.fr, moncompteformation.gouv.fr… Il est recommandé de garder un œil sur ces sites auxquels Franceconnect permet d’accéder et de vérifier qu’aucune connexion douteuse n’est effectuée dans les prochains jours. Si besoin, un changement de mot de passe ne fait jamais de mal.

Enfin, relevant du risque d’usurpation d’identité, comme le souligne RTL, il est possible de porter plainte en amont. Ou de déposer au moins une main courante afin de déclarer la perte des précieuses informations. Par ailleurs, il est suggéré d’accorder une attention particulière à son courrier, ses comptes et ses factures afin de s’assurer qu’aucune démarche suspecte n’est effectuée à votre insu.