Ne manquez plus aucune de nos publications :
La cyberattaque subie par l’opérateur tiers payant Almerys pourrait dépasser de loin le seul vol de 15 millions de numéros de sécurité sociale. L’assureur Alan confirme déjà le piratage de données d’identité et de couverture de ses clients, pendant que d’autres signaux laissent penser que l’exposition réelle pourrait être encore plus large.

Almerys occupe une place sensible dans la chaîne du tiers payant en France. La société sert d’intermédiaire entre les complémentaires santé, les assureurs, les professionnels de santé et les patients, ce qui explique pourquoi une attaque réussie contre sa plateforme peut toucher de nombreux acteurs d’un seul coup.
Dans le cas d’Alan, les informations en lien avec le piratage vont au-delà du numéro de sécurité sociale. L’assureur cite l’état civil, le rang de naissance, les numéros de contrat, le nom de l’assureur ainsi que les dates de couverture. De son côté, French Breaches évoque un fichier mis en vente sur le dark web contenant 15 452 549 numéros de sécurité sociale uniques, avec 674 organismes de santé exposés et 44 millions de données revendiquées par le pirate.
La situation est d’autant plus inquiétante qu’Almerys avait déjà été victime d’une cyberattaque majeure au début 2024. Deux ans plus tard, l’entreprise se retrouve de nouveau au cœur d’une fuite massive, au point d’avoir coupé son site de prise en charge.
Le chiffre de 15 millions de numéros de sécurité sociale volés donne déjà la mesure du problème, mais il ne raconte peut-être pas toute l’histoire. Dans le système de couverture santé, un assuré principal peut rattacher plusieurs ayants droit, comme un conjoint ou des enfants, sous un même numéro.
Autrement dit, une seule ligne piratée peut donner accès aux données de plusieurs personnes. Le hacker affirme lui-même disposer d’un accès complet aux informations familiales à partir d’une seule entrée, ce qui change l’échelle potentielle de l’incident.
Alan adopte donc une position prudente. L’assureur préfère considérer que l’ensemble des assurés ainsi que leurs ayants droit peuvent être concernés, tout en reconnaissant ne pas disposer à ce stade d’une liste exhaustive des victimes.
L’assureur assure toutefois que certaines données sensibles ne sont pas concernées. Alan explique que les coordonnées bancaires, les mots de passe, les adresses et les données de santé de ses clients n’ont pas été hackés, puisque ses propres serveurs n’ont pas été attaqués.
Alan ajoute ne pas transmettre aux prestataires de tiers payant plusieurs informations critiques, comme l’adresse e-mail, l’adresse postale, le numéro de téléphone ou l’IBAN. Cette précision ne supprime pas la gravité de l’incident, mais elle permet au moins de mieux cerner ce qui a pu être exposé et ce qui serait resté hors du périmètre de l’attaque.
Reste que les données déjà évoquées suffisent à nourrir des tentatives de fraude ciblées. Identité, numéro de sécurité sociale, contrat et périodes de couverture constituent un socle crédible pour monter des campagnes de phishing particulièrement convaincantes.
Alan demande donc à ses clients de redoubler de prudence dans les prochaines semaines face aux SMS, messages vocaux ou e-mails suspects prétendant venir de l’assureur ou d’un autre organisme. Le conseil est simple : ne saisir ses identifiants et mots de passe que sur des sites officiels et sécurisés, et contacter directement l’organisme concerné au moindre doute.
C’est sans doute le point le plus concret à retenir à court terme. Même sans accès aux coordonnées bancaires ou aux mots de passe, une fuite de cette ampleur peut servir de base à des escroqueries très crédibles, surtout si des informations familiales sont réellement exploitables derrière chaque dossier.
Le Parlement européen a de nouveau adopté ce 9 juillet 2026 le texte « Chat Control 1.0 » qui autorise les géants de la...
Les données de juin 2026 sont disponibles concernant le déploiement de la 4G et de la 5G par les opérateurs. Comme chaque mois, les...
Après l’annonce initiale à la fin juin, OpenAI annonce la disponibilité aujourd’hui de GPT-5.6 (Sol, Terra et Luna), sa...
Samsung commence à lever le voile sur son prochain smartphone pliant. À quelques jours de sa conférence Galaxy Unpacked prévue...
Anthropic vient de lâcher une nouvelle grosse mise à jour pour Claude. L’entreprise teste une nouvelle fonction bêta...
9 commentaires pour cet article :