Numéro de sécu, mutuelle: 33 millions de Français concernés par une cyber-attaque au tiers payant / Photo: DENIS CHARLET - AFP/Archives
-
Trump propose de prendre "possession" des centrales ukrainiennes
-
Wall Street termine en hausse après une réunion de la Fed sans surprise
-
La Fed s'abstient de bouger ses taux face à l'incertitude "inhabituellement élevée" aux Etats-Unis
-
Procès des otages en Syrie: la perpétuité requise pour que soit "oublié" le "sociopathe" Mehdi Nemmouche
-
Ossements calcinés au Mexique: "la vérité va sortir", affirme le parquet général
-
Procès des otages en Syrie: la perpétuité requise pour "oublier" le "sociopathe" Mehdi Nemmouche
-
Le pape François n'utilise plus de masque à oxygène
-
Israël intensifie ses opérations à Gaza, lance un "dernier avertissement"
-
Une étape clé franchie vers la généralisation du cannabis médical en France
-
Les discussions sur l'Ukraine "sur la bonne voie", assure Trump
-
Des manifestants défient Netanyahu à Jérusalem
-
Gaza: un employé de l'ONU tué dans une explosion, Israël nie toute responsabilité
-
La Fed s'abstient de bouger ses taux, voit l'horizon s'assombrir pour les Etats-Unis
-
Le rappeur Stormzy va recevoir un doctorat honorifique de Cambridge
-
Un témoin charge des proches de l'ex-Premier ministre cambodgien au procès d'un attentat visant l'opposition
-
Chercheurs américains : CentraleSupélec et l'université PSL se mobilisent
-
La grippe prend fin dans toute la métropole
-
Les revenus mondiaux de la musique enregistrée battent un nouveau record (rapport)
-
Gaza: Israël intensifie ses opérations, lance un "dernier avertissement" aux Gazaouis
-
La Bourse de Paris gagne du terrain avant la Fed
-
Procès des otages en Syrie: l'accusation requiert une peine permettant d'"oublier" le "sociopathe" Mehdi Nemmouche
-
A Gaza, des Palestiniens racontent une nouvelle descente aux enfers
-
Trump dit avoir eu une "très bonne" conversation avec Zelensky
-
Les Bourses européennes terminent sur une note prudente avant la Fed
-
Kazakhstan: le géant du cuivre Kazakhmys partiellement à l'arrêt après des accidents mortels
-
Expérimentation pour afficher la rémunération du producteur agricole sur les produits
-
La justice annule les déclarations en garde à vue du comédien Caubère, mis en examen pour violences sexuelles sur mineures
-
Turquie: la livre et la Bourse plongent après l'arrestation du maire d'Istanbul
-
Mayotte: un braconnier de tortues condamné à quatre ans de prison ferme
-
le gouvernement s'attaque aux faux diagnostics de performance énergétique
-
Le roquefort célèbre 100 ans d'appellation, espérant relancer des ventes en berne
-
Entretien téléphonique Trump-Zelensky, Kiev et Moscou échangent des prisonniers de guerre
-
Lutte contre le narcotrafic: la confidentialité des messageries cryptées en débat
-
Ourse tuée dans les Pyrénées: prison avec sursis requise contre le chasseur
-
Tadjikistan: le président Rakhmon, sans opposition, conforté par les législatives
-
Chercheurs américains : CentraleSupélec mobilise trois millions d'euros
-
Aigle royal tué par une éolienne: décision renvoyée au 9 avril
-
Bousculée par Trump, l'UE lance le processus de son réarmement
-
En Grèce, emballage final dans la course à la présidence du CIO
-
Wall Street ouvre en hausse, mais reste attentiste avant la Fed
-
Druides, sorcières et chamanes: au Royaume-Uni, le renouveau du paganisme
-
Taïwan va simuler une attaque chinoise en 2027 pour ses exercices militaires annuels
-
L'Ukraine et la Russie s'accusent mutuellement de ne pas vouloir régler le conflit
-
Face aux turbulences, la Fed encline à patienter encore avant de bouger ses taux
-
En Dordogne, la délicate préservation du fabuleux bestiaire pariétal de Cussac
-
Repris aux Ukrainiens, le village russe de Kazatchïa Loknïa laissé à ses fantômes
-
Est de la RDC: cessez-le-feu aux contours flous après une rencontre Tshisekedi-Kagame
-
Prévenir l'obésité infantile/école: une "mesure-pesée" en CE2 et respecter le nombre d'heures d'EPS
-
Prévenir l'obésité infantile/école: une "mesure-pesée" en CE2 et respecter le nombre d'heures d'EPS (mission parlementaire)
-
Vietnam: des poupées chinoises retirées des rayons pour atteinte à la sécurité nationale
Numéro de sécu, mutuelle: 33 millions de Français concernés par une cyber-attaque au tiers payant
Etat civil, numéro de sécurité sociale, informations sur la mutuelle: "plus de 33 millions" de Français sont concernés par un vol de données lors d'une cyber-attaque contre des gestionnaires du tiers payant, a révélé mercredi la Cnil, mais les informations bancaires ou médicales n'en feraient pas partie.
Deux sociétés servant d'intermédiaires entre les professionnels de santé - médecins, pharmaciens, opticiens, etc. - et les complémentaires santé ont été la cible de cette attaque: Viamedis (détenue notamment par les complémentaires Malakoff Humanis et Vyv) et Almerys.
Ce sont les opérateurs qu'un professionnel de santé interroge pour savoir s'il peut accorder, ou non, le tiers payant à un assuré social.
"Plus de 33 millions de personnes" sont concernées par une violation de données "pour les assurés et leur famille: l'état civil, la date de naissance et le numéro de sécurité sociale, le nom de l'assureur santé ainsi que les garanties du contrat souscrit", a précisé dans un communiqué le gendarme de la vie privée numérique.
Mais, selon la Cnil, "les informations bancaires, les données médicales, les remboursements santé, les coordonnées postales, les numéros de téléphone" ou encore les adresses électroniques "ne seraient pas concernés".
Aux Français touchés, il est conseillé d'"être prudent sur les sollicitations qu'(ils peuvent) recevoir, en particulier si elles concernent des remboursements de frais de santé" mais aussi "de vérifier périodiquement les activités et mouvements sur (leurs) différents comptes".
- "Investigations" rapides -
Il est en effet "possible que les données ayant fait l’objet de la violation soient couplées à d’autres informations provenant de fuites de données antérieures", explique la Cnil.
L'attaque s'est faite par l'usurpation d'identifiant et mot de passe de professionnels de santé.
L'alerte avait été donnée le 1er février par Viamedis qui a détecté l'attaque et averti les autres plateformes de tiers payant. Quelques jours plus tard, Almerys avait annoncé avoir également détecté une intrusion.
Les autres grandes plateformes de tiers payant ne semblent pas avoir été touchées, selon des informations recueillies par l'AFP auprès notamment de SP Santé (filiale de Cegedim) et de Actil (filiale d'Apicil).
"Devant l’ampleur de la violation", la Cnil va "mener très rapidement des investigations" notamment pour vérifier si les mesures de sécurité des opérateurs touchés par la cyber-attaque étaient conformes à leurs obligations de protection des données.
Elle a aussi appelé les complémentaires recourant à Viamedis et Almerys à informer "individuellement et directement" tous leurs assurés concernés, prévenant qu'elle s'assurera que ce soit fait "dans les plus brefs délais".
- Risque de hameçonnage? -
Selon des spécialistes de la cybersécurité interrogés ces derniers jours par l'AFP, les données exposées n'ont pas une grande valeur en tant que telles mais peuvent éventuellement servir à de futures cyber-attaques.
"Ça ne vaut pas grand chose comme données, il faudrait qu'il y ait aussi au moins un e-mail et un numéro de téléphone" pour qu'elles permettent de monter des attaques rapidement, selon Damien Bancal, grand observateur du marché noir de la donnée volée et animateur du blog Zataz.com.
Tamim Couvillers, analyste de la société de cybersécurité Vade, confirme que ces données ont peu de valeur marchande, mais avertit qu'elles "peuvent vite être croisées avec d'autres fichiers".
Ainsi, souligne-t-il, avoir le numéro de sécurité sociale de sa cible "permet de donner de la crédibilité à un courriel de hameçonnage (phishing)", consistant à convaincre l'internaute de cliquer sur un lien malveillant.
"C'est de la donnée fraîche", a également commenté Gérôme Billois, spécialiste en cybersécurité de la société Wavestone.
Almerys et Viamedis n'ont publié aucune information permettant de comprendre si les attaques avaient simplement pour but de voler des données, ou si elles pouvaient viser d'autres buts comme implanter un rançongiciel.
Almerys a indiqué mercredi que son système d'information central n'avait pas été touché par la cyber-attaque. Seul son "portail dédié aux professionnels de santé" a été touché et fermé, a affirmé la société.
L.Durand--AMWN