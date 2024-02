«Nous vous informons que Viamedis, l’organisme auquel nous sous-traitons la gestion du tiers payant de la complémentaire santé vient de subir une cyberattaque ». Ce message a été adressé à des millions de Français par leur mutuelle, afin de les avertir d’une potentielle fuite de leurs données. En cause ? La cyberattaque géante qui a frappé la société Viamedis le 1er février et qui a mis hors d’usage son site Internet mais surtout fait fuiter les données personnelles des assurés. D’après le « hacker éthique » français Saxx, le sous-traitant de Malakoff Humanis aurait pu exposer les données de 20 millions d’assurés appartenant à 84 mutuelles pour lesquelles il travaille. Selon un responsable de l’entreprise, « le compte d’un professionnel de santé a été hameçonné » et les pirates s’y sont engouffrés.

Une deuxième société touchée dans la foulée

Dans son malheur, Viamedis peut se consoler en se disant qu’elle n’est pas la seule victime. Quelques jours plus tard, c’est son concurrent Almerys qui a annoncé avoir été frappé par une cyberattaque aussi dévastatrice. D’après les observateurs, les données personnelles de plus d’un quart des Français pourraient avoir été volées à l’occasion de ces attaques d’une ampleur inédite dans le monde médical. « Je ne serais absolument pas étonné de voir potentiellement des extraits en vente dans les prochains jours ou semaines sur des plateformes cybercriminelles », a témoigné le hacker Saxx sur son compte X.

Les données volées par les pirates seraient « limitées » seront Viamedis mais concernent tout de même des données d’identité comme l’état civil, la date de naissance, le numéro de Sécurité sociale, l’assureur ou les garanties de contrat. Les professionnels de santé qui y sont enregistrés risquent davantage puisque des numéros de téléphone, des adresses mail ou encore des numéros de Siret ont pu être dérobés. Des informations qui peuvent parfois permettre aux pirates d’usurper l’identité de personnes ou de monter des campagnes d’arnaques en ligne. Les données médicales et bancaires, auxquelles les sociétés n’ont pas accès, n’ont pas été dévoilées.

Des plaintes ont été déposées et des alertes ont été transmises à la Commission nationale de l’informatique et des libertés (CNIL) et à l’Agence nationale de la sécurité des systèmes d’information (Anssi). Les mutuelles et complémentaires santé invitent leurs assurés à « rester vigilants » notamment concernant des messages inhabituels demandant des données personnelles.