Tiers payant : le point sur cette cyberattaque à 33 millions de victimes

Comment les accès des professionnels de santé étaient-ils protégés ? Y a-t-il, parmi les victimes, d’anciens clients des complémentaires concernées ? Où peut-on vraiment continuer à utiliser sa carte de tiers payant ?

Autant d’éléments questionnés – et pas forcément éclaircis à l’heure actuelle – dans le contexte des cyberattaques contre Viamedis et Almerys.

Ces deux sociétés sont les principaux gestionnaires du tiers payant en France. La première est filiale du groupe Malakoff Humanis. Elle revendique 84 complémentaires santé partenaires couvrant « plus de 20 millions de bénéficiaires » et « plus de 200 000 professionnels de santé adhérents ».
La seconde affirme posséder le « premier réseau de conventionnement du marché utilisé par 20 millions d’assurés sociaux et plus de 305 000 professionnels de santé ».

Viamedis et Almerys, ciblés l’un après l’autre

La dernière (et seule) communication publique de Viamedis remonte au 1^er février. Soit trois jours après l’attaque, fondée sur le hameçonnage d’un professionnel de santé et l’usurpation de son identité pour accéder à son compte. Bilan officiel : ont filtré des données d’état civil, des dates de naissance et des numéros de sécurité sociale, les noms des assureurs et les garanties ouvertes au tiers payant. Ainsi que des données de santé, en volume limité. En l’occurrence, « moins de 50 factures » contenant des informations sur le transport sanitaire (taxi, ambulance). Pas de fuite d’infos bancaires, en revanche, ni de coordonnées postales, de numéros de téléphone ou d’adresses e-mail.

L’attaque qu’Almerys a subie cinq jours après Viamedis est du même type. À ceci près qu’elle a touché plusieurs professionnels de santé, comme la société l’a annoncé le 5 février.

Les données de « plus de 33 millions de personnes »

Notifiée, la CNIL a fait les comptes. Parallèlement à l’annonce de l’ouverture d’une enquête, elle a communiqué un chiffre : plus de 33 millions de personnes concernées. Les adresses e-mail « ne seraient pas concernées par la violation », affirme la commission. Et de rappeler que c’est aux complémentaires santé d’informer « individuellement et directement » les victimes.

« J’ai […] reçu un mail de mon ancienne mutuelle qui visiblement n’avait pas archivé mes données et elles étaient donc toujours accessibles à un piratage », confie un assuré. Cela suggère qu’il y a, parmi les victimes, d’ex-clients des organismes sous-traitant la gestion du tiers payant à Almerys ou Viamedis.

Des professionnels de santé également touchés

« Vous pouvez continuer à utiliser votre carte Vitale et votre carte de tiers payant », se sont vu expliquer des assurés. Dans la pratique, certains professionnels ont pu faire le choix d’arrêter la prise en charge du tiers payant. « Si ça ne repart pas vite, on devra refuser », a-t-on par exemple affirmé chez l’Union des syndicats pharmaciens d’officine.

Les professionnels font eux-mêmes face à l’exposition de leurs données. Entre autres, de leur raisons sociale, leurs noms et prénoms, leur RIB, leur Siret et leur numéro FINESS (identifiant unique et définitif d’une entité juridique ou d’un établissement de santé).
On les invite à renseigner cet identifiant au numéro vert 08 05 62 00 10 pour savoir s’ils font partie des victimes. Leur est par ailleurs parvenu un e-mail indiquant les solutions alternatives à leur disposition pour les facturations et les paiements.

Illustration REDPIXEL – Adobe Stock