Vendredi 9 février, le parquet de Paris a indiqué avoir ouvert une enquête sur les récentes cyberattaques subies par deux opérateurs de tiers payant, Viamedis et Almerys, peut-être les plus massives recensées à ce jour en France.
Le vol de données concerne plus de 33 millions de Français, selon les estimations de la Commission nationale de l’informatique et des libertés (Cnil). Viamedis (filiale des complémentaires santé Malakoff Humanis et Vyv) et Almerys (groupe indépendant Be-Ys) sont des opérateurs de tiers payant pour le compte des assurances complémentaires de santé. Ceux-ci permettent notamment aux professionnels de santé (pharmaciens, opticiens notamment) de vérifier que leur client est bien adhérent d’une complémentaire santé et a bien droit au tiers payant. Almerys revendique ainsi 230 000 professionnels de santé affiliés. Les plaintes déposées par les deux entreprises ont engendré l’ouverture d’une enquête préliminaire, a indiqué, le 9 février 2024, la section de lutte contre la cybercriminalité du parquet de Paris, contactée par l’AFP.
Une « aspiration des pages d’affichage »
Selon les informations connues à ce jour, le chiffre de 33 millions de Français touchés se base sur le nombre de personnes que Viamedis et Almerys avaient référencées, et non sur le nombre de personnes dont les données ont réellement été copiées. Il peut aussi y avoir des doublons, a indiqué un spécialiste à l’AFP.
Le, ou les attaquants, ont réussi à mettre la main sur des « couples » identifiants – mots de passe de professionnels de santé. Selon Almerys, une fois connectés, les attaquants ont pu faire une « aspiration des pages d’affichage » des assurés sociaux éligibles au tiers payant, en utilisant « un bot », une procédure automatisée. L’attaque aurait eu lieu depuis « deux adresses IP » qui ont été « identifiées ».
Les investigations, qui sont confiées à la Brigade de lutte contre la cybercriminalité de la police judiciaire, portent sur les infractions d’atteinte à un système automatisé de données, de collecte frauduleuse de données à caractère personnel et recel d’un délit. Selon la Cnil, « les données concernées sont, pour les assurés et leur famille, l’état civil, la date de naissance et le numéro de sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit ». Mais elles ne contiennent pas a priori les informations cruciales pour des pirates comme les informations bancaires, données médicales, remboursements santé, coordonnées postales, numéros de téléphone, courriels.
Monter des attaques de hameçonnages
Cependant, si ces informations numériques sont croisées avec d’autres fichiers par des pirates disposant d’un bon niveau d’organisation, elles permettent toutefois de monter des attaques de hameçonnage (phishing). Le pirate aura à sa disposition des informations lui permettant d’assoir sa crédibilité aux yeux de sa victime. Début février 2024, l’un des deux opérateurs visés, Viamedis, avait indiqué avoir déconnecté sa plateforme de gestion à la découverte de l’intrusion, ce qui n’empêchait pas les assurés sociaux de bénéficier du tiers payant.
M. B.