Le RGPD (règlement européen sur la protection des données) contraint les entreprises victimes de fuites de données à informer leurs clients. C’est ce qui explique que nous ayons eu connaissance de la cyberattaque d’ampleur inédite dont ont été victimes Viamedis et Almerys entre le 21 janvier et le 4 février dernier. Il faut dire que ces deux opérateurs de tiers payants ont en leur possession les données personnelles de 33 millions d’assurés (leur rôle est de gérer pour le compte des mutuelles les avances de frais et la télétransmission de nos actes médicaux). Voilà donc les victimes informées que leur numéro de Sécurité sociale, leur état civil, leurs nom et prénom et leur date de naissance sont dans la nature. Les garanties couvertes par le tiers payant et le numéro de contrat de leur mutuelle, aussi. Dès lors, que faire ? Changer les mots de passe de son compte Ameli, de l’accès à l’espace client de sa mutuelle ? Cette précaution d’usage habituelle ne changera rien : les données ont fuité. Changer régulièrement ses mots de passe reste un basique d’une bonne hygiène numérique.

Un risque d’usurpation d’identité plus que de phishing

Les opérateurs de tiers payants n’ont pas cité les adresses e-mail, ni les numéros de téléphone parmi les données dérobées. Ceci éloigne un peu les risques de tentatives de phishing, à moins que les pirates ne parviennent à associer ces informations à celles de leurs propriétaires en recoupant plusieurs sources. « Cela demanderait beaucoup de temps et d’énergie à un pirate que de regrouper d’autres données, via les réseaux sociaux par exemple. Pas sûr que l’opération soit rentable pour lui », décrypte Damien Bancal, expert en cybersécurité et auteur du très instructif site Zataz.com. Ne baissez pas pour autant votre vigilance en cas d’appels téléphoniques et d’e-mails suspects.

Cette fuite massive de données fait davantage planer un risque élevé d’usurpation d’identité. Mais là, reste à croiser les doigts pour ne pas en être victime, car il est impossible de s’en prémunir.

Et si, finalement, tout allait bien ?

On se réjouit bien sûr que ni les informations bancaires, ni les coordonnées postales, ni les données médicales, ni les remboursements de santé, ni les numéros de téléphone, ni les e-mails ne soient concernés par cet acte malveillant. Savoir que son nom et son numéro de Sécurité sociale se baladent dans la nature reste éminemment anxiogène. « Aucune trace, aucun message d’aucun pirate n’a pour l’instant été repéré à ce sujet dans le darkweb », note, rassurant, Damien Bancal, qui envisage deux scénarios pour la suite. « Nous verrons avec le temps… Soit le pirate diffuse les données dans le darkweb (aujourd’hui, demain, dans 6 mois, 1 an ?) pour attirer les regards de sa communauté. Soit il va tout détruire et se faire oublier. » Soit, finalement... Rien n’a été volé ! « L’infiltration pirate a peut-être été arrêtée à temps », envisage notre expert. Une option rassurante, mais… crédible, vraiment ?