La cyberattaque subie par l’opérateur de tiers payant Almerys pourrait bien dépasser le seul vol de 15 millions de numéros de sécurité sociale. L’assureur Alan a déjà confirmé le piratage de l’identité et des données de couverture de ses clients, tandis que d’autres signaux suggèrent que l’exposition réelle pourrait être encore plus large.
Almerys occupe une place sensible dans la chaîne du tiers payant en France. L’entreprise sert d’intermédiaire entre les complémentaires santé, les assureurs, les professionnels de santé et les patients, ce qui explique qu’une attaque réussie contre sa plateforme puisse toucher plusieurs acteurs à la fois.
Dans le cas d’Alan, les informations liées au piratage vont au-delà du numéro de sécurité sociale. L’assureur cite l’état civil, l’ordre de naissance, les numéros de contrat, le nom de l’assureur ainsi que les dates de couverture. De son côté, Infractions françaises mentionne un fichier mis en vente sur le dark web contenant 15 452 549 numéros uniques de sécurité sociale, avec 674 organismes de santé exposés et 44 millions de données revendiquées par le hacker.
La situation est d’autant plus préoccupante qu’Almerys avait déjà été victime d’une cyberattaque majeure début 2024. Deux ans plus tard, l’entreprise se retrouve à nouveau au cœur d’une fuite massive, au point d’avoir coupé son site de support.
Le risque pourrait aller au-delà des seuls assurés identifiés
Le chiffre de 15 millions de numéros de sécurité sociale volés donne déjà l’ampleur du problème, mais il ne raconte peut-être pas tout. Dans le système de couverture maladie, un assuré principal peut avoir plusieurs bénéficiaires, comme un conjoint ou des enfants, sous un même numéro.
Autrement dit, une seule ligne piratée peut donner accès aux données de plusieurs personnes. Le pirate informatique lui-même prétend avoir un accès complet aux informations familiales à partir d’une seule entrée, ce qui modifie l’ampleur potentielle de l’incident.
Alan adopte donc une attitude prudente. L’assureur préfère considérer que tous les assurés ainsi que leurs bénéficiaires peuvent être concernés, tout en reconnaissant qu’il ne dispose pas à ce stade d’une liste exhaustive des victimes.
L’assureur assure toutefois que certaines données sensibles ne sont pas concernées. Alan explique que les coordonnées bancaires, les mots de passe, les adresses et les données de santé de ses clients n’ont pas été piratés, puisque ses propres serveurs n’ont pas été attaqués.
Alan ajoute qu’il ne transmet pas plusieurs informations critiques aux prestataires de paiement tiers, comme l’adresse email, l’adresse postale, le numéro de téléphone ou l’IBAN. Cette précision n’enlève pas la gravité de l’incident, mais elle permet au moins de mieux comprendre ce qui a pu être exposé et ce qui serait resté en dehors du périmètre de l’attaque.
Il n’en demeure pas moins que les données déjà évoquées suffisent à alimenter des tentatives de fraude ciblées. L’identité, le numéro de sécurité sociale, le contrat et la durée de couverture constituent une base crédible pour monter des campagnes de phishing particulièrement convaincantes.
Une vigilance renforcée s’impose désormais
Alan demande donc à ses clients de redoubler de prudence dans les semaines à venir face à des messages texte, vocaux ou courriels suspects prétendant provenir de l’assureur ou d’un autre organisme. Le conseil est simple : ne saisissez vos identifiants et mots de passe que sur des sites officiels et sécurisés, et contactez directement l’organisme concerné si vous avez le moindre doute.
C’est sans doute le point le plus concret à retenir à court terme. Même sans accès aux coordonnées bancaires ou aux mots de passe, une fuite de cette ampleur peut servir de base à des arnaques très crédibles, surtout si les informations familiales sont véritablement exploitables derrière chaque fichier.
