Comment 33 millions de numéros de sécurité sociale ont été piratés, pourquoi et comment se protéger : les premières réponses

Le gendarme des données personnelles, la CNIL a averti que 33 millions de comptes de sécurité sociale ont été piratés ce mercredi 7 février. Les hackers ont récupéré les numéros de sécurité sociale, les prénoms et les noms d’un français sur trois. Les données médicales et bancaires seraient épargnées. Comment les pirates ont-ils réussi cette action d'ampleur, un spécialiste de la cybersécurité nous répond et nous explique comment se protéger.

“Les données de 33 millions de personnes, près d’un Français sur trois sont dans la nature et on ne connaît pas encore précisément l'étendue des informations piratées, c’est énorme” souffle Clément Domingo.

Cet expert en cybercriminalité, basé à Rennes place forte de l’expertise numérique en France, a déjà bien fouillé l’ampleur de la fraude numérique.

1- Comment les hackeurs ont volé 33 millions de comptes sécu

La cyberattaque a touché deux géants du tiers payant en France, les sociétés Almerys et Viamedis. La CNIL, le gendarme des données personnelles a annoncé dans un communiqué ce 7 février qu’au total, “cette fuite de données concerne plus de 33 millions de personnes”.

Les données recueillies par les hackeurs sont les prénoms, noms, la date de naissance et le numéro de sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit.

Selon Clément Domingo, conférencier sur le hacking, “tout porte à croire que les cybercriminels auraient usurpé un compte d'un professionnel d’une de ces sociétés pour accéder aux informations”. Pour le spécialiste cette hypothèse est la plus crédible, et “s’impose pour les professionnels du milieu”. Cette méthode est d’ailleurs “celle utilisée pour voler les données au sein du CHU de Rennes dernièrement”.

Lire : Cyberattaque au CHU de Rennes. Des données exfiltrées, l'hôpital porte plainte

2- L’ampleur de l’attaque : les données médicales et bancaires concernées ?

À ce jour les données bancaires et médicales “ne seraient pas concernées” indique la CNIL qui a ouvert une enquête.

Pour l’expert en cybercriminalité, la crainte est grande face aux précautions de la CNIL. “Que la CNIL utilise le conditionnel prouve qu’ils ne sont pas totalement informés de l’ampleur de la fraude subie”. 

Celui connu sous le compte S.A.X.X. sur les réseaux sociaux, rappelle que lors de son premier communiqué la CNIL parlait de 20 millions de comptes touchés avant de passer à 33 millions. 

“La CNIL communique mais pas les deux groupes concernés. Les données médicales sont particulièrement sensibles. Elles se vendent très cher, autour de 150 euros le jeu de données sur le darknet”.

Clément Domingo précise qu’au travers Alméris et Viamedis, l’attaque toucherait 148 mutuelles, précisément 53 pour le groupe Alméris et 83 pour Viamedis.

“À ce jour, les deux sociétés n’ont rien dit sur les données qui restent saines et protégées face à cette attaque”.

Lire : Fuite de données médicales. Que deviennent les dossiers piratés dans les laboratoires du grand-Ouest

3- Les Jeux Olympiques de Paris : une des raisons du vol de données

“Si un compte bancaire se ferme facilement, les données médicales restent valables dans le temps. Y avoir accès permet de s’introduire plus facilement dans l’intimité des gens et de pouvoir réussir une escroquerie”.

Pour cet expert en crime numérique, les Jeux Olympiques de Paris 2024 sont à prendre en compte dans le contexte du vol de données. “Les hackeurs veulent croiser les données volées pour mieux vous tromper et vous faire cliquer sur un lien qui amène sur leur site web”. 

Pour faire simple, si un hackeur croise les données de votre venue aux JO de Paris et de votre compte bancaire ou autres informations personnelles, vous aurez tendance à croire les sms ou mails frauduleux… Vous aurez plus de chance pour vous faire escroquer.

“Vu l’ampleur du vol, les hackeurs vont sûrement mettre en vente les données par lots de manière locale. D’un côté les données des résidents d’Ile-de-France, d’un autre ceux de Bretagne, du Sud de la France…” Les hackeurs font cela pour l’argent et ils sauront en tirer le maximum assure Clément Domingo. 

4- Prudence face aux tentatives de phishing

“Restez prudents et ne cliquez sur aucun lien par mail ou sms venant d’une publicité non désirée” alerte Clément Domingo. L'expert ne croit pas que les victimes de piratage soient toutes contactées et encore moins dans un délai court.

La CNIL assure ne pouvoir fournir aucune information sur ce piratage. Ce sont les complémentaires de santé qui vont devoir informer directement les personnes impactées.

“Connaissant les rouages de ce type d’opération, pour l’heure les sociétés essaient d’estimer les dégâts. Ils ne sont pas encore concentrés sur les appels pour les clients. De plus, contacter plus de 33 millions de personnes…”