Le butin est historique. Il y a quelques jours, on apprenait le piratage de la société Viamedis, prise pour cible par des hackers. L’entreprise chargée de jouer les intermédiaires entre mutuelles et assurés abritait 20 millions de profils assurés, et tout autant de victimes potentielles. Le bilan s’est finalement alourdi en fin de semaine. Après une enquête diligentée par la Cnil, ce sont 33 millions de Français qui auraient été touchés. Aux clients de Viamedis, se sont aussi ajoutés ceux de l’entreprise concurrente Almerys. Un Français sur deux est concerné actuellement.
Selon la Cnil, les données volées par les hackers sont sensibles, mais pas critiques. Les numéros de sécurité sociale, nom, prénom, date et lieu de naissance sont concernés, ainsi que le nom de l’assureur santé et les garanties du contrat souscrit. Autant d’informations qui, en tant que telles, ne peuvent pas être exploitées pour vider votre compte bancaire ou usurper votre identité. Mais alors, quel intérêt pour les pirates ?
Que risque-t-on vraiment ?
Le numéro de sécurité social en tant que tel est une mine d’information sur votre état civil. Les 15 chiffres qui le composent ne sont pas générés aléatoirement, mais permettent de renseigner votre assignation sexuelle, votre année, mois et département de naissance, ainsi que le code géographique de votre commune de naissance. Les cinq derniers chiffres correspondent quant à eux à votre numéro d’ordre de naissance, et à la clé de contrôle, calculée à partir de l’ensemble des numéros précédents.
Concrètement, connaître votre numéro de sécurité sociale peut donner aux pirates de précieuses informations sur leurs victimes. Plus inquiétant encore, ce dernier est aujourd’hui utilisé comme identifiant pour certains services publics, comme France Travail (ex Pôle Emploi), la Caisse d’allocation familiale, ou encore l’espace santé de l’Assurance Maladie. Il suffit alors de renseigner son numéro de sécurité sociale et son mot de passe pour accéder à votre compte, et à l’ensemble du système d’authentification FranceConnect. À partir de là, il est alors possible de se connecter au service impots.gouv.fr, afin d’obtenir une flopée de documents administratifs confidentiels.
Le principal risque reste toutefois celui du hameçonnage. Si des pirates sont en possession de certaines données sensibles, ils seront plus à même de vous envoyer un mail frauduleux en se faisant passer pour un organisme officiel. Munis de votre identité complète et de vos identifiants, difficile de démêler le vrai du faux pour un internaute. À partir de là, il sera alors possible de tromper leurs victimes, en prétextant un remboursement ou un impayé minime. Sans se méfier, l’assuré entre ses coordonnées bancaires ou télécharge un malware, et se retrouve à la merci des hackers.
Comment faire si vous êtes concernés ?
Si vous avez été victime de cette intrusion massive, Viamedis et Almerys auront l’obligation de vous contacter personnellement afin de vous informer de la situation, conformément au RGPD. Dans le doute, attention aux mails que vous recevrez dans les semaines à venir. Prenez garde aux messages trop alléchants, aux fautes d’orthographe et aux liens qui renvoient vers des sites tiers. Prenez aussi le temps de changer vos mots de passe pour minimiser les risques de vol d’identité.
Et si c’est trop tard ?
Si vous avez été victime d’un piratage, d’une usurpation d’identité sur les plateformes en ligne ou d’une tentative de phishing, plusieurs ressources légales existent. Dans un premier temps, il convient de déposer plainte au commissariat ou à la gendarmerie la plus proche, muni de toutes les preuves que vous aurez en votre possession. Pensez aussi à faire opposition auprès de votre banque, et à changer vos mots de passe.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
“Si vous avez été victime de cette intrusion massive, Viamedis et Almerys auront l’obligation de vous contacter personnellement”
Curieux de voir ça et vu que cela concerne 1 français sur 2 on aura forcément un proche de concerné et sinon personne ne parle d’éventuelle sanction sur ces sociétés passoire qui gère nos données sensible sans forcément notre consentement…
Oui enfin si ton tiers payant n’a pas ton numéro de sécu, il va pas réussir à remplir la seule fonction qui justifie son existence, le plus simple dans ce cas est de ne pas avoir de mutuelle 😄
C’est en principe obligatoire quand on est salarié mais il y a parfois des possibilités de contournement.
Ce n’est en rien le principe des mutuelles qui est en cause mais des sous-traitant intermédiaires de liaison qui aurait du être blindé vu le type de donnée traité.
Bonjour , depuis quand vous avez le lieu de naissance dans votre numéro de sécu ?
Encore de la désinformation , vous êtes pitoyable !
Le département et la commune de naissance sont présents dans le numéro, de même que l’année de naissance, le mois de naissance et le sexe…
@Windaub exemple :
1 85 05 78 006 084 36
premier chiffre : 1 pour les hommes et 2 pour les femmes et jadis dans les heures sombres de l’histoire de France le premier chiffre pouvait représenter ces valeurs :
1: Homme européen
2: Femme européenne
3: Homme algérien musulman
4: Femme algérienne musulmane
5: Homme algérien juif
6: Femme algérienne juive
7: Homme étranger
8: Femme étrangère
9: Homme de statut mal défini
0: Femme de statut mal défini
Il est désormais interdit par la loi de classifier des individus selon leur ethnie ou leur religion.
85 : année de naissance
05: mois de naissance
78 : département de naissance
006 : commune de naissance (code insee)
084: ordre de votre enregistrement sur le registre d’état civil de votre commune
36: une clé de sécurité
C’est vrai par exemple avec 021 on sait que c’est la ville d’Amiens
En bref, les données en elles mêmes ne sont pas suffisantes pour causer un préjudice financier MAIS elles peuvent permettre des phishing ciblés et plausibles. Et le pire, c’est que ce phishing peut se produire a n’importe quel moment de votre vie. Dans 23 ans, un pirate pourra toujours utiliser ces voitures données qui n’auront pas changé entre temps (nom, prénoms, date et lieu de naissance, numéro sécu).