C’est une attaque d’une ampleur inédite en France. La semaine dernière, les sociétés Viamedis et Almerys ont été la cible de deux piratages massifs après l’intrusion de hackers dans leur système. Des données personnelles et d’état civil ont pu être dérobées sans que l’on ne connaisse pour l’heure l’importance de cette cyberattaque. Une chose est sûre : de très nombreuses informations ont été dérobées auprès des adhérents des mutuelles et complémentaires santé françaises qui travaillent avec Viamedis et Almerys.

Au total, cette fuite de données concernerait plus de 33 millions de personnes, soit près d’un Français sur deux selon la CNIL (commission nationale de l’informatique et des libertés). Les données concernent l’état civil, la date de naissance, le numéro de Sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit par les assurés et leur famille.

Ces attaques sont-elles surprenantes ?

Une semaine après ces deux attaques quasi simultanées, la question que tout le monde se pose, c’est : est-ce que je suis concerné ? Et la réponse n’est pas facile à trouver. Pour savoir si vous faites partie du lot, vous pouvez d’abord vérifier si votre mutuelle fait appel aux deux sous-traitants piratés en vérifiant votre carte d’assuré. Le site Résopharma donne une liste plutôt complète des contrats passés entre les organismes de santé et leurs sous-traitants chargés du tiers payant. Vous pouvez également solliciter votre mutuelle directement pour lui poser la question. A condition qu’elle décroche… « Une information part progressivement depuis hier vers nos sociétaires et adhérents. Le dispositif de crise est en place depuis la connaissance des faits de la part d’Almerys, un suivi régulier est réalisé », promet la Macif, touchée par l’attaque.

Rapidement alertée des deux cyberattaques, la CNIL demande aux mutuelles de prévenir leurs adhérents. « Ce sont elles qui connaissent leurs souscripteurs et qui doivent informer leurs adhérents par mail ou par courrier », insistent les services de la commission. En parallèle, une enquête a été ouverte pour déterminer si les piratages « étaient évitables » et si des mesures de protection suffisantes avaient été érigées.

Dans le milieu des spécialistes des menaces de cybersécurité, ces deux attaques ne surprennent personne. Depuis des années, les établissements de santé comme les hôpitaux sont visés, à l’image des CHU de Rennes et de Brest, qui avaient dégusté lors d’intrusions. « Les gens ont souvent peur parce qu’il s’agit de données liées à leur santé. Les hackers s’en prennent à des structures pour qui l’informatique est vitale, qui ne peuvent pas s’en passer », analyse Sarah Portugais, qui travaille au sein du cabinet de conseil en cybersécurité Lorcyber. Son associé Pierre Lorcy se montre cependant rassurant sur la situation. « Il ne faut pas paniquer. Les données qui ont été dérobées sont plutôt de l’ordre de l’état civil. Plein de gens lâchent déjà leur mail ou leur numéro de téléphone sur des sites marchands dont on ignore ce qu’ils font de nos données ».

Que faire pour se protéger de ce type d’attaques ?

Le spécialiste de la cybersécurité recommande surtout aux utilisateurs de se protéger des menaces en adoptant un comportement vigilant. « Le bon message à passer, c’est d’être prudent avec les messages qui vous seront envoyés et d’avoir un œil critique. Si vous recevez un mail vous invitant à vous rendre sur un site, ne cliquez pas dessus et allez directement sur le site de l’organisme ».

Connu comme « hacker éthique », celui qui exerce derrière le pseudo Saxx conseille la même attitude. « La sécurisation des données est prise trop à la légère. Il faut que les gens redoublent de vigilance dans les jours, les semaines et les mois qui viennent. Ne pas répondre aux SMS ou aux mails qui leur semblent frauduleux et changer ses mots de passe ».

Que peuvent faire les hackers avec vos données ?

Une fois dérobées, les données peuvent être revendues et utilisées par des personnes mal intentionnées pour mener des campagnes de phishing très convaincantes dans le but de vous soutirer de l’argent. « Il faut simplement prendre du recul. Est-ce que vous avez déjà vu un mail contenant votre numéro de Sécurité sociale ? Non, en général, il y a simplement votre nom », rappelle Pierre Lorcy. L’autre risque, c’est l’usurpation d’identité, qui pourrait permettre aux hackers de récupérer des documents officiels. « Avec le numéro de Sécurité sociale, on a beaucoup d’informations sur la personne. On peut imaginer que certains s’en serviront pour tenter de forcer des accès à France Connect ou pour obtenir des actes de naissance par exemple », alerte le hacker Saxx. En France, un filigrane est désormais disponible pour sécuriser les envois de documents en ligne.

Les assurés dont les données ont été piratées ne peuvent rien faire pour les récupérer. Ils doivent cependant garder à l’esprit d’être très prudents quant à leurs démarches en ligne et aux sollicitations extérieures. « On a beau être très préparé, on ne peut pas se protéger de tout. Il va falloir apprendre à faire avec ces cyberattaques », prévient Pierre Lorcy.