Blog
|
Tout sur Alan

Incidents de sécurité chez deux gestionnaires de tiers payant

Mise à jour du 16 février 2024 à 16:30

Vendredi 2 février, Almerys, notre prestataire en charge du tiers-payant, nous a informés d’un incident de sécurité ayant touché leur plateforme. La cyberattaque est similaire à celle intervenue quelques jours plus tôt pour Viamedis. Au total, selon la CNIL, plus de 33 millions de personnes sont concernées.

Incidents de sécurité chez deux gestionnaires de tiers payant
Mis à jour le
16 février 2024
Mis à jour le
16 février 2024
Partager l'article
Dans cet article

Que sait-on à ce jour ?

Notre prestataire Almerys a pu déterminer avec précision le type de données concernées :

  • État-civil (nom, prénom, date de naissance)
  • Numéro de sécurité sociale
  • Numéro de contrat
  • Nom de l’assureur

Les données suivantes ne sont pas concernées par l'incident et sont toujours en sécurité :

  • Informations bancaires
  • Informations de contact (adresse postale, téléphone, email)
  • Mots de passe
  • Informations de santé (soins, remboursements)

Les plateformes touchées ont été mises hors service afin de stopper l’atteinte aux données.

Un dépôt de plainte et une notification auprès des autorités compétentes (CNIL, ANSSI) ont immédiatement été effectués par Almerys et Viamedis. Nous avons également directement notifié la CNIL (autorité de régulation en matière de protection des données personnelles) et l’ACPR (autorité de régulation des assurances).

Les deux incidents seraient dûs à l’usurpation de l’identité et des accès de professionnels de santé aux plateformes concernées.

Nous ne partageons ni votre adresse e-mail ou physique, ni votre numéro de téléphone, ni votre IBAN aux prestataires de tiers-payant. Ces données ne peuvent donc pas être concernées par cette intrusion. De même, seuls les professionnels de santé disposent de compte sur ces plateformes. Aucun de vos mots de passe n’est donc directement concerné par cet incident.

Les personnes concernées

La liste détaillée des personnes concernées nous a été communiquée par Almerys et Viamedis. Comme nous l’avions anticipé, l’ensemble des assurés, anciens et actuels (jusqu’à la date du 26 janvier 2024), couverts par des assureurs partenaires d’Almerys et Viamedis, ainsi que leurs ayants-droits sont concernés.

Nous  avons transmis une notification individuelle à l’ensemble de nos membres actifs par email les 8 et 9 février.

Les risques

Usurpation d’identité

Le risque principal pour les personnes concernées est que leurs informations d’état-civil et de numéro de sécurité sociale soient utilisées pour usurper leur identité, par exemple pour ouvrir des dossiers auprès de banques, d’assureurs ou d’autres organismes.

Intrusion sur d’autres services (CPF, Ameli)

Votre nom et numéro de sécurité sociale pourraient servir à accéder votre Compte personnel de formation ou votre compte Ameli, en particulier si vous utilisez comme mot de passe une information personnelle telle que votre prénom ou celui d’un proche. Si vous avez un doute, n’hésitez pas à contacter les services dédiés de Mon Compte Formation ou de la Sécu. Vous pouvez également signaler tout SMS ou appel téléphonique suspect à travers la plateforme 33700 mise en place par les principaux opérateurs téléphoniques français.

Hameçonnage

Les infromations dérobées peuvent être utilisées pour rendre plus crédibles des tentatives d’hameçonnage, c’est-à-dire des emails, des SMS ou des messages téléphoniques destinés à vous faire révéler d’autres informations comme des identifiants, des mots de passe ou des informations bancaires, le plus souvent en cliquant sur un lien. Des escrocs pourraient citer les informations dérobées (nom, date de naissance, numéro de sécu, nom de votre assureur santé) ou bien d’autres informations volées auprès d’autres services (comme indiqué dans le point précédent) pour rendre leur message plus convaincant.

Croisement avec d’autres données personnelles

Bien que les données de contact ne soient pas concernées par l’incident, il est possible que des attaquants recoupent les données dérobées avec des informations d’autres sources (telles que des fuites de données antérieures à celle-ci, même mineures, provenant d’autres organismes). Vous pouvez utiliser le site HaveIBeenPwned pour vérifier si certaines de vos informations personnelles ont déjà été concernées par de précédentes fuites de données.

Pour les membres Alan

Nous avons informé individuellement et directement nos membres par email.

  • Vos données de santé sont stockées sur les systèmes Alan, et sont toujours soigneusement protégées. Alan n’a subi aucune intrusion dans son système informatique. 
  • Votre espace personnel Alan est toujours accessible et sécurisé depuis votre application, et la gestion de vos remboursements continue sans interruption d’activité.

Nos équipes se tiennent à votre disposition pour répondre à toute question concernant la protection des données personnelles à l’adresse [email protected].

Que pouvez-vous faire ?

Nous vous recommandons de faire preuve d’une vigilance accrue dans les prochaines semaines si vous recevez des messages (SMS, vocaux ou e-mails) suspects semblant provenir d’Alan, ou d’autres organismes, notamment s’ils vous demandent des informations ou vous invitent à vous connecter à un site web.

  • Vérifiez que vous entrez vos identifiants et vos mots de passe uniquement sur des sites officiels et sécurisés.
  • En cas de doute, prenez vous-même contact directement avec l’organisme concerné afin de vérifier la provenance et la légitimité du message.

Que fait Alan pour continuer à protéger vos données ?

  • Nous renforçons les contrôles des nouveaux inscrits Alan pour s’assurer qu’il s’agit de personnes dont l’identité est vérifiée.
  • Nous effectuons une revue complète des contrats avec nos prestataires, et nous renforçons les clauses de sécurité que nous leur imposons.
  • Nous continuons à collaborer étroitement avec la CNIL ainsi qu’avec Almerys et Viamedis pour poursuivre les investigations.
  • Nous vous recommandons d'activer l’authentification à double facteur pour votre compte Alan, et le mode privé dans l'application mobile.

Est-il nécessaire de changer ses mots de passe ?

Les données dérobées ne comportent aucun mot de passe, il n'est donc pas nécessaire de les changer maintenant, spécifiquement à cause de cet incident.

Cependant, cet incident peut mettre en lumière la vulnérabilité de certains de vos mots de passe, notamment si:

  • ils sont très anciens
  • ils sont faciles à deviner à partir des informations d’état-civil qui ont été dérobées (par exemple votre prénom,celui de votre conjoint ou de vos enfants)
  • vous utilisez des mots de passe similaires pour plusieurs comptes différents

Dans ces situations, n’hésitez pas à les changer de manière préventive. 

Nous vous recommandons de choisir des mots de passe différents pour chaque site ou application, et qu’ils soient longs (plus de 9 caractères), aléatoires (oubliez le nom de votre chat, ou votre date de naissance : préférez des références que vous êtes seuls à connaître), et avec un mélange de chiffres, lettres, majuscules et minuscules.

Incluez les plateformes officielles dans ce changement : Ameli, Impôts, votre banque, etc., ainsi que votre boîte email

Pour en savoir plus

Vous pouvez consulter les pages suivantes sur le site de la CNIL :

  • le communiqué sur les incidents liés aux opérateurs de tiers payant ;
  • le guide des bonnes pratiques pour le choix et l’utilisation des mots de passe.

Vous souhaitez être informé des dernières actualités d'Alan ? Laissez-nous votre email 🤗
Vous êtes...
Combien de salariés avez-vous ?
Votre email
Alan est le responsable de traitement des données personnelles que vous nous fournissez afin de vous recontacter. Vous disposez de droits sur ces données personnelles, pour les exercer ou obtenir plus d’informations, n'hésitez pas à consulter notre politique de confidentialité.
Publié le 02/02/2024

Sur le même sujet

C’est quoi les Ops chez Alan ?
C’est quoi les Ops chez Alan ?
Déc 4, 2024