C’est une attaque de grande ampleur dont on peine à distinguer les contours. Ce mercredi 7 février, la Cnil a levé le voile sur une fuite de données massive concernant deux opérateurs de santé, Viamedis et Almerys. «Au total, cette fuite de données concerne plus de 33 millions de personnes», détaille la Cnil dans son communiqué.
Les données concernées sont, pour les assurés et leur famille, l’état civil, la date de naissance et le numéro de sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit. «Ni information bancaire, ni données médicales, ni remboursement de santé, ni les coordonnées postales, les numéros de téléphone ou encore les courriels ne sont concernées», ont assuré plusieurs mutuelles dans des messages adressés à leurs clients. Mais que peuvent alors faire les hackers de ces données ?
«C’est comme si les pirates avaient volé des clefs ou des passe-partout», analyse Denis Jacopini, expert judiciaire en cybercriminalité. Ces données peuvent maintenant être revendues ou utilisé par des pirates du même réseau pour un retour sur investissement. Plusieurs options s’offrent alors aux escrocs. «Ils peuvent essayer de se faire passer pour vous auprès d’institutions ou d’entreprises», affirme le spécialiste. Le numéro de sécurité sociale est par exemple nécessaire pour se connecter à son compte Ameli. Une fois infiltrés sur le compte de leur victime, les escrocs peuvent détourner des allocations sur leurs propres comptes bancaires.
«Les escrocs peuvent également se faire passer pour des organismes et essayer de vous tromper», ajoute Denis Jacopini. Avec des données comme le nom, la date de naissance et les détails des contrats d’assurance, un pirate peut facilement se faire passer pour un employé de banque ou d’assurance pour extorquer de l’argent à des utilisateurs dont les détails auraient fuité. «Avec certains détails bien choisis, il est assez facile de gagner la confiance de certaines personnes», assure le spécialiste en cybersécurité. «Ces informations nominatives vont permettre de réaliser des campagnes de fishing, par mail ou sms, très efficace, confirme Pierre Penalba, ancien chef du premier groupe de lutte contre la cybercriminalité de la Police nationale. Les faux messages avec toutes vos coordonnées sembleront plus vrais que nature.»
Pour se prévenir des escroqueries qui pourraient arriver. Denis Jacopini préconise de rester sur ses gardes. «Si quelqu’un se présente par téléphone comme votre conseiller bancaire ou votre assurance et qu’il vous demande une action inhabituelle, c’est probablement une arnaque», prévient l’expert. Le plus sûr est alors de réaliser un contre-appel sur le numéro habituel ou sur un numéro présent sur des documents officiels. «C’est la seule solution pour être certain de parler à la même personne», insiste Denis Jacopini.
De son côté, devant l’ampleur de l’attaque, la présidente de la Cnil a décidé de mener des investigations afin de déterminer notamment si les mesures de sécurité mises en œuvre préalablement à l’incident et en réaction à celui-ci étaient appropriées au regard des obligations du RGPD. «Comment les hackers ont réussi à pénétrer le site des sociétés et pourquoi les données n’étaient pas chiffrées ?, se questionne Pierre Penalba. Chacun est en droit de se poser la question.» Ce jeudi 8 février, le site de Viamedis, l’un des deux opérateurs piratés, a été suspendu «pour qu’il puisse être réouvert dans les conditions de sécurité maximales, le plus rapidement possible» selon le message présent sur la page d’accueil.