Etat civil, numéro de sécurité sociale : les données de 33 millions de Français piratées, le parquet de Paris ouvre une enquête

TECH - Les données de plus de 33 millions de personnes ont été piratées fin janvier 2024. Deux cyberattaques successives ont ciblé les prestataires Viamedis et Almerys, spécialisés dans la gestion du tiers payant pour de nombreuses complémentaires santé et mutuelles. Selon la Commission nationale de l'informatique et des libertés (CNIL), les données personnelles des victimes comme l’état civil ou le numéro de sécurité sociale ont été compromises, contrairement aux informations bancaires ou médicales. Le parquet de Paris a annoncé l’ouverture d’une enquête et les personnes concernées peuvent déposer plainte.

L’annonce a été faite par la CNIL, qui a été informée par Viamedis et Almerys des cyberattaques dont ils ont été victimes fin janvier.

Le parquet de Paris ouvre une enquête

La CNIL a donné plus de détails une semaine plus tard, le 7 février. La fuite de données concerne plus de 33 millions de personnes en France. Ces dernières devaient être informées de ce piratage par les complémentaires santé clientes de Viamedis et Almerys. "Les données concernées sont, pour les assurés et leur famille, l'état civil, la date de naissance et le numéro de sécurité sociale, le nom de l'assureur santé ainsi que les garanties du contrat souscrit", révèle-t-on dans un communiqué.

La Commission de l'informatique et des libertés ajoute que “les données telles que les informations bancaires, les données médicales, les remboursements santé, les coordonnées postales, les numéros de téléphone ou encore les courriels ne seraient pas concernés par la violation". La CNIL dit poursuivre son enquête visant à déterminer “si les mesures de sécurité mises en œuvre préalablement à l’incident et en réaction à celui-ci étaient appropriées au regard des obligations du Règlement général sur la protection des données”. Les victimes ont également été conviées à faire preuve de prudence et à vérifier périodiquement les activités et mouvements sur leurs différents comptes. Les informations qui ont fuité peuvent aussi faire l’objet d’hameçonnage ou de mouvements inhabituels sur différents comptes.

Le directeur général de Viamedis, Christophe Candé, a évoqué une intrusion dans la plateforme : “Le compte d’un professionnel de santé a été hameçonné”.  Une plainte auprès du procureur de la République a été déposée. De son côté, Almerys a expliqué que les hackers ont pu réaliser une “aspiration des pages d’affichage” des clients assurés, en recourant à un bot (un robot, NDLR). Le système d’information de l’opérateur “n’a subi aucune intrusion” et la cyberattaque a été menée depuis “deux adresses IP identifiées”.

Le parquet de Paris a annoncé le 9 février avoir ouvert une enquête. Les investigations ont été confiées à la brigade de lutte contre la cybercriminalité de la police judiciaire et portent sur les infractions d’atteinte à un système automatisé de données, de collecte frauduleuse de données à caractère personnel et recel.

Les cyberattaques : inévitables ?

En attendant, les professionnels de santé sont directement touchés. "Nous avons subi une suspension des paiements via Viamedis", témoigne Valérian Ponsinet, président d'une commission sur les systèmes numériques au sein de la Fédération des syndicats pharmaceutiques de France (FSPF). La situation des opticiens est la plus compliquée. "Viamedis ne nous a communiqué aucune date de rétablissement de leur service. Nous avons appris par la presse qu'ils avaient été piratés", explique Hugues Verdier-Davioud, président de la Fédération nationale des opticiens de France (FNOF), qui rappelle que ses confrères subissent aussi des “conséquences en matière de trésorerie " et qu’ils sont “en attente de liquidations de dossiers”.

L’opticien enfonce le clou en rappelant qu’il a déjà alerté contre "un problème de sécurisation des flux". "Cela fait des années que notre fédération saisit la CNIL pour qu'elle prenne acte des défaillances qu'il y a dans le traitement des flux entre les opticiens et les complémentaires santé”. D’après lui, de nombreuses données récoltées ne sont pas toujours indispensables au fonctionnement des opérateurs. "Elles n’ont pas besoin d’autant de précisions, d'autant que certaines relèvent du secret médical", affirme-t-il.

L’ampleur de cette cyberattaque est sans précédent. Si cette fuite n’a pas concerné cette fois-ci des informations bancaires ni médicales sensibles, elle rappelle la vulnérabilité des systèmes d’information, aussi sécurisés soient-ils.

Les cyberattaques sont de plus en plus récurrentes et selon l’enquête Global Data Protection Index (GDPI) de Dell, l’un des plus grands constructeurs d'ordinateurs, plus de 54% des entreprises à travers le monde ont été ciblées. En France, une trentaine de collectivités territoriales ainsi que neuf hôpitaux ont été victimes de cyberattaques.

Celles-ci surviennent au moment où, en Europe, le projet d’un euro numérique, porté par la Banque centrale européenne (BCE), est en cours de finalisation. La version dématérialisée de la monnaie unique ne sera pas “totalement anonyme” selon une récente déclaration de Christine Lagarde, présidente de la BCE, et une faille compromettrait vite la sécurité des données récupérées par les établissements bancaires.