Etat civil, date de naissance, numéro de sécurité sociale, détails de remboursement de santé… Les données de plus de 33 millions de personnes ont été compromises lors de la cyberattaque ayant visé début février les opérateurs Viamedis et Almerys, deux sociétés qui assurent la gestion du tiers payant pour des complémentaires santé. C’est ce qu’a annoncé ce mercredi 7 février la Commission nationale de l’informatique et des libertés (Cnil) qui a également fait savoir qu’elle allait lancer une enquête.

«Les données concernées sont, pour les assurés et leur famille, l’état civil, la date de naissance et le numéro de sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit», a précisé dans un communiqué le gendarme de la vie privée en matière numérique, ajoutant que les informations bancaires, les données médicales ou les remboursements de santé «ne seraient pas concernées». Des données personnelles de santé qui se trouvent désormais potentiellement entre les mains de malfrats. Aux Français touchés, il est conseillé d’«être prudent sur les sollicitations qu’(ils peuvent) recevoir, en particulier si elles concernent des remboursements de frais de santé» mais aussi «de vérifier périodiquement les activités et mouvements sur (leurs) différents comptes». Il est en effet «possible que les données ayant fait l’objet de la violation soient couplées à d’autres informations provenant de fuites de données antérieures», explique la Cnil.

La Cnil, qui va «mener très rapidement des investigations» pour vérifier si les mesures de sécurité de ces opérateurs étaient conformes à leurs obligations, appelle également chacune des complémentaires ayant recours à Viamedis et Almerys à informer «individuellement et directement» l’ensemble de leurs assurés concernés par cette violation de données. Elle prévient qu’elle s’assurera que ce soit fait «dans les plus brefs délais».

L’alerte avait été donnée le 1er février par Viamedis qui a détecté l’attaque et averti les autres plateformes de tiers payant. Quelques jours plus tard, Almerys avait annoncé avoir également détecté une intrusion. Dans la foulée de la découverte de l’attaque, Viamedis a annoncé avoir déposé une plainte auprès du procureur de la République et déconnecté sa plateforme de gestion à la découverte de l’intrusion, ce qui n’empêchait pas les assurés sociaux de bénéficier du tiers payant. Son directeur général, Christophe Candé, avait alors expliqué qu’il ne s’agissait pas d’une attaque par rançongiciel mais bien d’une intrusion dans la plateforme. «Le compte d’un professionnel de santé a été hameçonné», avait-il alors révélé. Une attaque qui s’est donc faite par l’usurpation de l’identifiant et du mot de passe de ce professionnel.

Selon des spécialistes de la cybersécurité interrogés ces derniers jours par l’AFP, les données exposées n’ont pas une grande valeur en tant que telles mais peuvent éventuellement servir à de futures cyberattaques. «Ça ne vaut pas grand-chose comme données, il faudrait qu’il y ait aussi au moins un e-mail et un numéro de téléphone» pour qu’elles permettent de monter des attaques rapidement, selon Damien Bancal, grand observateur du marché noir de la donnée volée et animateur du blog Zataz.com. Selon des informations recueillies par l’AFP, les autres grandes plateformes de tiers payant telles que Sp Santé (filiale de Cegedim) et Actil (filiale d’Apicil) ne semblent pas avoir été touchées.