Skip to content
Fuite de donnéesContenu

Fuite chez Almerys, Viamedis

Début février 2024, les opérateurs français de tiers payant santé Viamedis et Almerys ont révélé des fuites exposant les données d'environ 33 millions de personnes — nom, date de naissance, numéro de sécurité sociale et assureur de santé — l'une des plus grandes violations de données de l'histoire de la France.

Victime
Almerys, Viamedis
données
33.0M

Le 6 février 2024, Viamedis et Almerys — deux opérateurs français qui gèrent le tiers payant pour le compte d'assureurs santé complémentaires — ont révélé des violations de données ayant exposé ensemble les informations d'environ 33 millions de personnes, soit près de la moitié de la population française. La CNIL a confirmé l'ampleur de l'incident, ce qui en fait l'une des plus grandes fuites de données de l'histoire du pays.

Les attaquants n'ont pas directement compromis les systèmes centraux des deux sociétés. Ils ont plutôt ciblé les comptes de professionnels de santé disposant d'un accès légitime aux portails de Viamedis et Almerys, vraisemblablement par hameçonnage ou par réutilisation d'identifiants dérobés lors de précédentes fuites. Viamedis a détecté l'intrusion fin janvier 2024 et Almerys a signalé une compromission similaire de comptes professionnels le 5 février.

Les données exposées concernaient les assurés et leurs ayants droit et comprenaient :

  • Nom et prénom
  • Date de naissance
  • Situation matrimoniale et état civil
  • Numéro de sécurité sociale
  • Nom de l'assureur de santé
  • Type de contrat et garanties ouvertes au tiers payant

Les deux opérateurs ont précisé qu'aucune coordonnée bancaire, adresse e-mail ou postale, ni numéro de téléphone n'avait été exposé, ces données n'étant pas stockées sur les systèmes concernés.

Les sociétés ont coupé les accès compromis et averti les assureurs concernés, qui ont à leur tour alerté leurs adhérents. La CNIL a ouvert une enquête pour évaluer les mesures de sécurité en place et le respect des obligations du RGPD, tout en alertant sur un risque accru d'hameçonnage et d'usurpation d'identité compte tenu de l'ampleur des données d'identité et d'assurance divulguées.

Sources

  1. cnil.frhttps://www.cnil.fr/fr/violation-de-donnees-de-deux-operateurs-de-tiers-payant-la-cnil-ouvre-une-enquete-et-rappelle-aux
  2. bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/data-breaches-at-viamedis-and-almerys-impact-33-million-in-france/
  3. infosecurity-magazine.comhttps://www.infosecurity-magazine.com/news/france-33-million-social-security/
  4. euronews.comhttps://www.euronews.com/next/2024/02/08/data-of-33-million-people-in-france-stolen-in-its-largest-ever-cyberattack-this-is-what-we

Incidents liés

Fuite de donnéesContenu

Fuite chez Mediboard

Le 19 nov. 2024, un cybercriminel a mis en vente sur BreachForums les dossiers d'environ 758 912 patients du groupe de santé français Aléo Santé — extraits via un compte à privilèges compromis sur la plateforme de dossiers patients Mediboard —, exposant identités, coordonnées et données médicales sensibles.

Victim
Mediboard
Records
758.9K