L'annonce a eu l'effet d'une bombe le mois dernier. Le 7 février 2024, la Commission nationale de l'informatique et des libertés (CNIL) nous informait d'une cyberattaque sans précédent dans l'Hexagone, concernant plus de 33 millions de citoyens, soit près de la moitié des Français. Pour cause : les organismes touchés, Viamedis et Almerys, sont des opérateurs assurant la gestion du tiers payant pour de nombreuses complémentaires santé et mutuelles. Ayant eux-mêmes été victimes d'actes de piratage entre fin janvier et début février, c'est ainsi que les données personnelles de près d'un Français sur deux se sont retrouvées exposées.

Comment savoir si je suis concerné par cette cyberattaque ?

Tout d'abord, soulignons que le chiffre des 33 millions de Français touchés n'est encore qu'une estimation, l'étendue réelle de l'impact de cette cyberattaque de grande ampleur restant à déterminer. "Ce volume pourra être revu à la hausse ou à la baisse une fois que la CNIL aura fini ses investigations, qui sont toujours en cours à ce stade", confiait en effet le gendarme des données personnelles au Monde le 8 février dernier. Et de préciser : "Les personnes concernées sont celles qui sont assurées et dont les noms apparaissent sur les cartes de complémentaires santé, cela peut être le souscripteur principal tout comme les membres de sa famille assurés avec lui."

À noter que les complémentaires et mutuelles concernées sont tenues légalement, dans le cadre du règlement général sur la protection des données (RGPD), d'informer "individuellement et directement" les personnes qui auraient ainsi été victimes d'une fuite de données. "La CNIL s’assurera que ce soit fait dans les plus brefs délais", soulignait même le contrôleur dans son communiqué du 7 février. Surveillez donc votre messagerie. Vous pouvez aussi, si vous le souhaitez, contacter directement votre organisme de santé afin de savoir, déjà, s'il est en relation avec Viamedis et Almerys ou non.

Quels types de données personnelles ont été dérobées ?

Fait rassurant : aucune donnée bancaire ni de contact (e-mail, adresse postale, numéro de téléphone) n'a été exposée lors de cette cyberattaque. Les informations auxquelles les pirates ont eu accès sont précisément "l’état civil, la date de naissance et le numéro de Sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit", comme le détaillait la CNIL dans son communiqué. Mais alors, que peuvent bien faire les hackers avec ce type de données personnelles ?

Si à elles seules elles ne leur rapportent pas grand-chose, ils peuvent tenter de croiser ces nouvelles données avec d'autres, issues potentiellement de précédentes cyberattaques, pour trouver au moins le moyen de vous approcher. S'ils y parviennent, ils mettront alors en place un vil stratagème de hameçonnage, autrement appelé phishing, qui consiste à se faire passer pour un interlocuteur de confiance (typiquement votre complémentaire santé) afin de vous soutirer de précieuses informations telles qu'un mot de passe ou des coordonnées bancaires. Si vous recevez ainsi un mail ou SMS vous invitant à cliquer sur un lien pour réinitialiser vos identifiants ou encore renseigner votre numéro de carte bleue, méfiance !

La CNIL recommande ainsi "d’être prudent sur les sollicitations que vous pourrez recevoir, en particulier s’ils concernent des remboursements de frais de santé" et "de vérifier périodiquement les activités et mouvements sur vos différents comptes". Car avec votre numéro de Sécurité sociale et votre mot de passe, les pirates auront le sésame pour ouvrir divers portails administratifs (Ameli, Pôle emploi, Assurance Retraite, et d'autres via France Connect…). Au-delà d'une potentielle escroquerie, le risque encouru ici, et pas des moindres, est l'usurpation d'identité.

Comment se protéger après cette cyberattaque ?

Que vous soyez concerné par cette cyberattaque ou non, le maître-mot reste le même en toutes circonstances dans vos activités numériques : vigilance. Restez sur le qui-vive, ne cliquez sur aucun lien provenant d'un mail ou SMS douteux, surtout s'il s'agit de vous demander des informations personnelles. Rendez-vous plutôt directement, par vous-même, sur le compte en question pour vous assurer que tout est en ordre.

Pour un maximum de sérénité, n'hésitez pas à modifier vos mots de passe les plus sensibles. L'idée étant alors d'opter pour des combinaisons longues et fortes, composées de chiffres et de lettres, en majuscules et minuscules, avec au moins un caractère spécial. L'idéal étant encore de donner cette mission à un gestionnaire de mots de passe, qui non seulement s'occupera de trouver des sésames indéchiffrables, mais en plus se chargera de s'en souvenir pour vous.

Pensez d'ailleurs à la solution SFR Cybersécurité, qui comprend justement un gestionnaire de mots de passe, et bien plus encore. Conçu à la fois pour simplifier votre vie numérique et pour vous prévenir des menaces en ligne, ce service proposé en option chez SFR offre une protection complète. Parmi ses promesses : la navigation sécurisée, vous permettant de surfer sur Internet sans risque, un bouclier anti-phishing, pour vous prémunir des pièces jointes et liens suspects dans vos e-mails, ainsi que des anti-traceurs, qui veillent à préserver votre vie privée en bloquant les traqueurs de données. Le tout disponible sur tous vos appareils, de l'ordinateur à votre smartphone, en passant par votre tablette (jusqu'à 5 équipements).

Et le plus beau dans tout cela, c'est que vous n'avez même pas besoin de casser la tirelire pour vous offrir la sérénité. L'option SFR Cybersécurité est proposée dès 3€ par mois pour la protection d’un équipement et à 5€ par mois pour 5 équipements. C'est sans engagement, et, cerise sur le gâteau : en ce moment le premier mois ne vous coûtera qu'1€ !

Sources : CNIL, Le Monde, France Inter