Date de naissance, état civil, nom de l'assureur, garanties de contrat et... numéro de sécurité sociale. 33 millions de Français sont concernés par un vol de données, liée à une cyberattaque qui a touché deux gestionnaires de tiers payant, Viamedis et Almerys, a annoncé la Cnil. Des informations particulièrement sensibles, et qui laissent craindre de nombreuses tentatives d'hameçonnage dans les semaines et mois à venir.
>> LIRE AUSSI - Données de santé piratées : comment savoir si l'on fait partie des 33 millions de Français concernés
Les données volées vont probablement se retrouver sur le dark web, où elles seront revendues à d'autres groupes de hackeurs. Si les seuls numéros de sécurité sociale n'ont pas une très grande valeur, c'est en recoupant différentes données que les pirates peuvent perfectionner leurs arnaques. "Un numéro de sécurité sociale, sur le moment, ils ne vont rien en faire. Mais plus ils ont de données sur une personne et plus ils vont construire les attaques suivantes", explique Pascal Le Digol, expert en cybersécurité chez WatchGuard Technologies. "Si une personne reçoit un faux mail bien calibré grâce à l'intelligence artificielle, avec des données personnelles précises, des informations sur son contrat de mutuelle, et la présence du numéro de sécurité sociale, cela crédibilise la fausse demande et amplifie le taux de clics."
Le numéro de sécurité sociale, impossible à modifier
Le plus grand risque reste donc l'hameçonnage, qui consiste à piéger une personne pour obtenir des informations personnelles, comme des identifiants, des mots de passe ou des coordonnées bancaires, via des liens présents dans les faux mails ou SMS. "Plus les pirates ont de pertinence sur la personne, plus ils vont pouvoir élaborer quelque chose qui a des chances de fonctionner", détaille l'expert en cybersécurité. "Toute donnée intéresse les pirates, le moindre identifiant se vend sur le dark web."
Une fois les identifiants récupérés, dans le cas du tiers payant par exemple, les hackeurs pourraient facilement se connecter à la mutuelle et modifier certaines informations, comme le RIB, pour obtenir, à la place de la personne piratée, ses remboursements de santé. "Si nous sommes capables d'y penser, les pirates peuvent imaginer bien mieux", s'inquiète Pascal Le Digol.
D'autant que numéro de sécurité sociale n'expire pas et ne peut pas être modifié. Il est aussi utilisé pour réaliser de nombreuses démarches administratives en ligne, comme accéder au site d'Ameli.fr. Si un hackeur obtenait ces identifiants, il pourrait également utiliser au système France Connect, qui permet de se connecter aux sites d'un service public avec les identifiants d'un autre, parmi l'Assurance maladie, les impôts, ou encore l'identité numérique La Poste.
Ne jamais cliquer sur un lien reçu par mail ou SMS
Pour éviter de tomber dans le piège des hackeurs, le maître mot reste la vigilance. Pour l'expert en cybersécurité, la première chose à faire est de ne plus cliquer sur les liens présents dans les mails. "Vous recevez un email, qui vous dit d'aller sur votre compte, de cliquer sur un lien pour y aller : vous ne cliquez pas, jamais", insiste Pascal Le Digol. "Même si le mail semble venir de l'organisme en question, vous ne cliquez pas. Par exemple, si ce sont les impôts, allez vous-même directement sur le site et la demande sera dessus." Une habitude à prendre aussi pour les SMS.
Les personnes concernées par ce vol de données devraient rapidement être contactés par les gestionnaires de tiers payant. En attendant, il est recommandé de faire attention à toute demande provenant de sa mutuelle ou d'un gestionnaire de santé. Une fois de plus, ne pas cliquer sur les liens reçus par mail ou SMS, et de manière plus générale, ne jamais communiquer de données personnelles ou bancaires.