La cyberattaque subie par l’opérateur tiers payant Almerys pourrait dépasser de loin le seul vol de 15 millions de numéros de sécurité sociale. L’assureur Alan confirme déjà le piratage de données d’identité et de couverture de ses clients, pendant que d’autres signaux laissent penser que l’exposition réelle pourrait être encore plus large.
Almerys occupe une place sensible dans la chaîne du tiers payant en France. La société sert d’intermédiaire entre les complémentaires santé, les assureurs, les professionnels de santé et les patients, ce qui explique pourquoi une attaque réussie contre sa plateforme peut toucher de nombreux acteurs d’un seul coup.
Dans le cas d’Alan, les informations en lien avec le piratage vont au-delà du numéro de sécurité sociale. L’assureur cite l’état civil, le rang de naissance, les numéros de contrat, le nom de l’assureur ainsi que les dates de couverture. De son côté, French Breaches évoque un fichier mis en vente sur le dark web contenant 15 452 549 numéros de sécurité sociale uniques, avec 674 organismes de santé exposés et 44 millions de données revendiquées par le pirate.
La situation est d’autant plus inquiétante qu’Almerys avait déjà été victime d’une cyberattaque majeure au début 2024. Deux ans plus tard, l’entreprise se retrouve de nouveau au cœur d’une fuite massive, au point d’avoir coupé son site de prise en charge.
Le risque pourrait dépasser les seuls assurés identifiés
Le chiffre de 15 millions de numéros de sécurité sociale volés donne déjà la mesure du problème, mais il ne raconte peut-être pas toute l’histoire. Dans le système de couverture santé, un assuré principal peut rattacher plusieurs ayants droit, comme un conjoint ou des enfants, sous un même numéro.
Autrement dit, une seule ligne piratée peut donner accès aux données de plusieurs personnes. Le hacker affirme lui-même disposer d’un accès complet aux informations familiales à partir d’une seule entrée, ce qui change l’échelle potentielle de l’incident.
Alan adopte donc une position prudente. L’assureur préfère considérer que l’ensemble des assurés ainsi que leurs ayants droit peuvent être concernés, tout en reconnaissant ne pas disposer à ce stade d’une liste exhaustive des victimes.
L’assureur assure toutefois que certaines données sensibles ne sont pas concernées. Alan explique que les coordonnées bancaires, les mots de passe, les adresses et les données de santé de ses clients n’ont pas été hackés, puisque ses propres serveurs n’ont pas été attaqués.
Alan ajoute ne pas transmettre aux prestataires de tiers payant plusieurs informations critiques, comme l’adresse e-mail, l’adresse postale, le numéro de téléphone ou l’IBAN. Cette précision ne supprime pas la gravité de l’incident, mais elle permet au moins de mieux cerner ce qui a pu être exposé et ce qui serait resté hors du périmètre de l’attaque.
Reste que les données déjà évoquées suffisent à nourrir des tentatives de fraude ciblées. Identité, numéro de sécurité sociale, contrat et périodes de couverture constituent un socle crédible pour monter des campagnes de phishing particulièrement convaincantes.
Une vigilance renforcée s’impose maintenant
Alan demande donc à ses clients de redoubler de prudence dans les prochaines semaines face aux SMS, messages vocaux ou e-mails suspects prétendant venir de l’assureur ou d’un autre organisme. Le conseil est simple : ne saisir ses identifiants et mots de passe que sur des sites officiels et sécurisés, et contacter directement l’organisme concerné au moindre doute.
C’est sans doute le point le plus concret à retenir à court terme. Même sans accès aux coordonnées bancaires ou aux mots de passe, une fuite de cette ampleur peut servir de base à des escroqueries très crédibles, surtout si des informations familiales sont réellement exploitables derrière chaque dossier.
4 commentaires pour cet article :