Skip to content
hacker_posts

Almerys : 15,4 millions de numéros de Sécurité sociale en vente, Alan parmi les mutuelles touchées

Un pirate revendique 44 millions de lignes exfiltrées chez le tiers-payant Almerys, dont 15,4 millions de NIR uniques. CNIL et ANSSI notifiées. Plus de 670 organismes concernés.

Publié le 4 min de lecture
fuitealmeryssantetiers-payantalerte

Le 21 mai, un acteur malveillant a mis en vente sur un forum cybercriminel un fichier attribué au tiers-payant Almerys. Selon les éléments publiés, la base contiendrait 44 074 042 lignes et 15 452 549 numéros de sécurité sociale (NIR) uniques. Le 23 mai, la mutuelle Alan a confirmé être impactée à travers son prestataire. Almerys a déposé plainte et notifié la CNIL et l'ANSSI.

C'est, en l'état des informations publiques, l'une des plus importantes fuites de données de santé en France depuis l'incident Viamedis–Almerys de février 2024, qui avait concerné 33 millions de personnes.

Ce qui est exposé

D'après l'échantillon mis en vente, les enregistrements compromis combinent données d'état civil et données contractuelles d'assurance santé :

  • Nom, prénom, date de naissance, rang de naissance.
  • Numéro de sécurité sociale (NIR).
  • Numéro de contrat et nom de l'assureur ou de la mutuelle.
  • Dates de début et de fin de couverture.

Pas de données bancaires ni de données médicales fines à ce stade selon Almerys, mais le triptyque NIR + état civil + identifiant mutuelle est précisément ce qu'il faut pour monter du phishing ciblé sur le tiers-payant, ou pour usurper l'identité d'un assuré auprès d'un organisme de santé. Le NIR n'est ni secret ni renouvelable : sa fuite est définitive.

Périmètre

Almerys est un opérateur de tiers-payant qui agit pour le compte de plusieurs centaines de complémentaires santé. Le pirate fait état de 674 organismes potentiellement présents dans la base. Au moment de la publication, Alan est la première mutuelle à avoir confirmé publiquement un impact ; d'autres notifications individuelles devraient suivre au rythme des analyses internes des assureurs.

Statut de l'exploitation

La base est en vente, pas (encore) publiquement diffusée. C'est la fenêtre la plus dangereuse : les acheteurs sont vraisemblablement des opérateurs de fraude, qui dans les semaines qui viennent vont monter des campagnes de phishing imitant des mutuelles, des courriers CPAM ou des plateformes de tiers-payant. La granularité des données rend ces campagnes très convaincantes — l'attaquant peut citer un numéro de contrat et un nom d'assureur réels.

Que faire

Côté assurés

  1. Considérer le NIR comme public. Ne jamais l'utiliser seul comme preuve d'identité au téléphone ou par email.
  2. Méfiance maximale sur les sollicitations « mutuelle » dans les semaines à venir : SMS, e-mails, appels qui citent votre contrat ou votre assureur. Rappeler systématiquement le numéro officiel imprimé sur la carte de tiers-payant, jamais celui fourni dans le message.
  3. Activer la 2FA partout où c'est possible sur les espaces clients mutuelle et Ameli.
  4. Surveiller son compte Ameli pour les remboursements ou consultations inconnus.

Côté DSI / RSSI d'organismes santé

  1. Identifier l'exposition. Si vous êtes client d'Almerys ou intégrez son API tiers-payant, demander un point de situation écrit : périmètre exact, données concernées par votre portefeuille, plan de notification client.
  2. Préparer une communication assurés. Le RGPD oblige à notifier les personnes en cas de risque élevé pour leurs droits et libertés. La fuite d'un NIR coche cette case.
  3. Renforcer la détection phishing. Augmenter la sensibilité des filtres mail sur les patterns « tiers-payant », « remboursement mutuelle », « renouvellement de carte ». Préparer un message d'avertissement à diffuser aux adhérents.
  4. Auditer les accès tiers. Profiter de l'incident pour resserrer la chaîne contractuelle : qui chez vos prestataires accède aux données NIR ? Quels journaux ? Quelle durée de conservation ?

Contexte

Almerys avait déjà été au centre de la fuite Viamedis–Almerys de février 2024, sanctionnée publiquement par la CNIL pour 33 millions de personnes concernées. Deux ans plus tard, le même acteur revient avec un volume comparable. La répétition pose la question des mesures correctrices effectivement déployées entre les deux incidents, qui sera vraisemblablement au cœur de l'instruction CNIL et de l'enquête judiciaire.

Au-delà du cas Almerys, l'écosystème français de tiers-payant repose sur un petit nombre d'opérateurs qui concentrent les données de dizaines de millions d'assurés. Chaque compromission d'un de ces nœuds produit mécaniquement une fuite à l'échelle nationale. Tant que cette concentration ne sera pas accompagnée d'exigences de sécurité homogènes — au sens NIS 2 sur les fournisseurs critiques — le cycle continuera.

Sources : Next, Le Monde Informatique, L'Argus de l'assurance.

Articles liés