📌 Résumé de l’incident
Almerys, spécialiste français de la gestion du tiers-payant pour les complémentaires santé, a subi une cyberattaque sur sa plateforme. Les adhérents de la mutuelle Alan (l’un de ses clients) sont directement impactés, bien qu’ils n’aient aucun lien direct avec Almerys. L’intrus a exfiltré des données personnelles sensibles, dont :
✅ État civil complet (nom, prénom, date de naissance)
✅ Numéro de sécurité sociale (NIR)
✅ Numéro de contrat
✅ Nom de l’assureur et dates de couverture
❌ Non concernés : Coordonnées bancaires, mots de passe, adresses postales, données de santé.
⚠️ Alan confirme : Aucune intrusion n’a été détectée sur ses propres serveurs. La faille provient exclusivement d’Almerys.
🔍 Une fuite aux conséquences amplifiées
Selon l’enquête du média French Breaches, le fichier mis en vente sur le dark web contiendrait 15 452 549 numéros de sécurité sociale uniques. Un chiffre sous-estimé :
- En France, un même numéro de sécurité sociale (NIR) est partagé par toute une famille (assuré principal + ayants droit : conjoint, enfants).
- Conséquence : Chaque numéro compromis expose 3 à 4 personnes supplémentaires, multipliant le nombre de victimes potentielles.
💡 Pourquoi c’est grave ?
Contrairement à une carte bancaire (remplaçable en 48h), le NIR est définitif à vie. Couplé à l’état civil, il permet :
- Usurpation d’identité
- Fraudes administratives (fausses déclarations, demande de remboursements frauduleux)
- Phishing ciblé (SMS, e-mails ou appels se faisant passer pour des organismes de santé).
Alan recommande à ses adhérents de :
✉️ Ignorer les communications suspectes (e-mails, SMS, appels)
🔒 Vérifier les mouvements inhabituels sur leurs comptes santé
📞 Signaler toute tentative de fraude via Cybermalveillance.gouv.fr
⚠️ Almerys : Une cible récurrente
Cette attaque n’est pas un cas isolé :
- Janvier 2024 : Almerys et son concurrent Viamedis avaient déjà été piratés simultanément, exposant les données de 33 millions de personnes.
- Enquête en cours : Le parquet de Paris a ouvert une procédure pénale, mais aucune conclusion publique n’a encore été rendue.
- Nouvelle faille en 2026 : Le pirate, se faisant appeler « Lagui », affirme avoir contourné l’absence de double authentification sur les systèmes d’Almerys.
📜 Contexte légal :
La fuite survient pendant l’examen de l’article 21 de la loi contre les fraudes, qui vise à autoriser les plateformes de tiers-payant à traiter des données de santé personnelles. Ce texte est actuellement soumis au Conseil constitutionnel.
🛡️ Réactions et mesures prises
- Almerys :
- A désactivé son site de prise en charge dès la détection de l’attaque.
- Blocages possibles pour les professionnels de santé (opticiens, hôpitaux) lors des demandes de remboursement.
- Alan :
- A notifié l’ACPR (Autorité de Contrôle Prudentiel et de Résolution).
- Prépare une déclaration à la CNIL (Commission Nationale de l’Informatique et des Libertés).
- A prévenu l’intégralité de ses adhérents par précaution (la liste exacte des victimes n’a pas encore été communiquée).
📌 Pour les victimes de 2024 :
Un formulaire en ligne avait été mis à disposition via Cybermalveillance.gouv.fr pour déposer plainte sans se déplacer en commissariat.
💬 Analyse et recommandations
1. Pourquoi Almerys est-elle une cible privilégée ?
Almerys agit comme intermédiaire technique entre :
- Les assurés (via leur mutuelle comme Alan)
- Les professionnels de santé (médecins, pharmacies, hôpitaux)
- Les organismes payeurs (Sécurité sociale, complémentaires)
→ Son rôle central en fait un maillon faible : une faille chez Almerys impacte des millions de personnes sans qu’elles en aient conscience.
2. Que faire si vous êtes concerné ?
💬 Analyse et recommandations
1. Pourquoi Almerys est-elle une cible privilégée ?
Almerys agit comme intermédiaire technique entre :
- Les assurés (via leur mutuelle comme Alan)
- Les professionnels de santé (médecins, pharmacies, hôpitaux)
- Les organismes payeurs (Sécurité sociale, complémentaires)
→ Son rôle central en fait un maillon faible : une faille chez Almerys impacte des millions de personnes sans qu’elles en aient conscience.
2. Que faire si vous êtes concerné ?
| Action | Détails | Lien utile |
|---|---|---|
| Surveiller ses comptes | Vérifier les remboursements et mouvements inhabituels sur Ameli ou Alan. | Ameli.fr |
| Signaler un phishing | Ne pas cliquer sur les liens suspects, signaler à Signal Spam. | Signal Spam |
| Déposer plainte | Via le formulaire en ligne de Cybermalveillance. | Cybermalveillance.gouv.fr |
| Protéger son identité | Activer la surveillance de son NIR via des services comme Filbanque. | Filbanque |
3. Questions en suspens
- Quelles mesures concrètes Almerys compte-t-elle mettre en place pour éviter une 3ème attaque ?
- Pourquoi les enquêtes de 2024 n’ont-elles pas abouti à des sanctions ou des corrections ?
- Le projet de loi sur le tiers-payant va-t-il renforcer la sécurité ou aggraver les risques en élargissant l’accès aux données ?
