"Plus de 33 millions" de Français ont été victimes d'un vol sans précédent. État civil, numéro de sécurité sociale et informations de mutuelle : ces données peuvent vous exposer à des arnaques. Comment savoir si vous êtes concernés et que faire. On vous explique.
C'est un vol de données personnelles de très grande ampleur : ce mercredi 7 février, la CNIL, gendarme de la vie privée et numérique, a révélé que "plus de 33 millions de personnes" sont concernées par une faille de sécurité de deux opérateurs du système de santé.
Almerys et Viemadi, deux sociétés qui servent d'intermédiaires financiers entre les acteurs de la santé comme les médecins, les pharmaciens et les mutuelles, ont été victimes d'un vol massif d'informations, sur les plateformes qui gèrent le tiers-payant. Les données dérobées concernent "pour les assurés et leur famille, l’état civil, la date de naissance et le numéro de sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit" indiquait la CNIL.
Mes informations ont-elles été volées ?
Les Français concernés sont ceux dont la mutuelle travaille avec Almerys ou Viemadi. Pour savoir si c'est le cas de votre mutuelle, vous pouvez dans un premier temps examiner votre carte de tiers-payant afin de chercher une mention de l'un des deux organismes.
Mais la seule manière d'en avoir le cœur net est "d'appeler votre mutuelle ou votre complémentaire pour savoir si elles étaient en relation avec ces deux entreprises qui ont fait l'objet de la faille de sécurité", a conseillé Yann Padova, avocat spécialiste de la protection des données numériques et ancien secrétaire général de la Cnil, interrogé par france info ce jeudi 8 février au matin.
Des sites comme haveibeenpwned.com permettent de chercher son adresse mail dans des fichiers de données dérobées et vendues sur internet. Google propose également un service de ce type : dans les paramètres de sécurité, la catégorie "rapport sur le dark web" permet de sonder ces fichiers à la recherche de notre adresse mail, numéro de téléphone, nom, et mots de passes enregistrés sur Chrome.
Que faire si c'est le cas ?
Si la CNIL confirme qu'une "information bancaire" ou donnée médicale n'a été dérobée, il faut se méfier. "Ces données peuvent servir dans des tentatives de fraude bancaires" explique Benjamin Capelli, juriste UFC-Que Choisir Doubs. "Par exemple, des faux conseillers, des faux mails plausibles, parce que la personne dispose d'informations personnelles".
Car si les adresses mails ne font pas partie des informations dérobées, celles-ci peuvent "vite être croisées avec d'autres fichiers" a averti Tamim Couvillers, analyste de la société de cybersécurité Vade, après de l'AFP.
Benjamin Capelli conseille donc vivement de "changer ses mots de passe de façon régulière". Et il faudra surtout redoubler de vigilance en cas de sollicitation par téléphone ou par mail, notamment de personnes qui tenteraient de se faire passer pour une mutuelle ou la sécurité sociale.
"La première des choses, ce qu'il faut regarder c'est l'adresse mail de l'expéditeur" explique le juriste. "Pas simplement le nom, il faut mettre la souris dessus ou ce genre de chose pour voir". Si l'adresse est suspecte, parce qu'elle ne correspond pas à celle habituellement utilisée, il vaut mieux passer son chemin.
"À partir d'un moment où on a un doute, il vaut mieux se rendre sur le site de la sécu directement, nous-même, sans passer par le lien qui est proposé par le mail" ajoute Benjamin Capelli. Autrement dit, fermer le mail, et se rendre par ses propres moyens sur le site officiel que l'on a l'habitude de consulter.
Enfin, si on a eu un doute, on peut signaler le mail sur la plateforme du gouvernement Pharos, en sélectionnant la catégorie "escroquerie" : cela permettra aux autorités de mener l'enquête.
Avec AFP
