Les pirates se sont notamment emparés des numéros de Sécurité sociale des assurés concernés.© (Photo archives NR)
Les données de plus de 33 millions de personnes ont été compromises lors de la cyber-attaque ayant visé des opérateurs qui assurent la gestion du tiers payant pour des complémentaires santé. Les données volées contiennent notamment l'état civil, la date de naissance et le nom de l’assuré.
Deux sociétés servant d'intermédiaires entre les professionnels de santé (médecins, pharmaciens, opticiens, etc.) et les complémentaires santé ont été la cible de cette attaque : Viamedis (détenue notamment par les complémentaires Malakoff Humanis et Vyv) et Almerys. Ce sont les opérateurs qu'un professionnel de santé interroge pour savoir s'il peut accorder, ou non, le tiers payant à un assuré social.
La Cnil : « d’être prudent sur les sollicitations que vous pourrez recevoir, en particulier s’ils concernent des remboursements de frais de santé … de vérifier périodiquement les activités et mouvements sur vos différents comptes »
L'attaque s'est produite après l'usurpation d'identifiants et mots de passe de professionnels de santé. L'alerte a été donnée le 1er février par la société Viamedis, qui a détecté l'attaque et averti les autres plateformes de tiers payant. Quelques jours plus tard, Almerys a annoncé avoir également détecté une intrusion. Les autres grandes plateformes de tiers payant ne semblent pas avoir été touchées. Ces données pourraient en effet être utilisées par des personnes mal intentionnées pour se faire rembourser certains frais de santé aux dépens de ces assurés.
Selon des spécialistes de la cybersécurité interrogés ces derniers jours, les données exposées n’ont pas une grande valeur en tant que telles mais peuvent éventuellement servir à de futures cyberattaques.