S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Alan alerte sur une fuite de données chez Almerys, son prestataire de tiers-payant

Bis repetita placent

Alan alerte sur une fuite de données chez Almerys, son prestataire de tiers-payant

Illustration : Flock

L’assurance santé Alan a alerté samedi les adhérents de ses entreprises clientes d’une fuite de sécurité survenue au niveau d’Almerys, son prestataire de tiers-payant. L’incident est susceptible d’avoir exposé état civil, numéro de sécurité sociale et numéro de contrat de l’assureur. Alan assure cependant que ses propres systèmes sont intacts et que les données de paiement, mots de passe et informations de santé ne sont pas concernés.

Nouvelle affaire sensible en vue dans le monde de la santé : l’assurance Alan, auréolée de son statut de licorne et d’une récente levée de fonds de 100 millions d’euros, a commencé à signaler par email aux employés des entreprises clientes de ses services d’un incident de sécurité susceptible d’avoir exposé des données personnelles.

« Vendredi 22 mai, notre prestataire en charge du tiers-payant (Almerys) nous a informés d’un incident de sécurité ayant touché leur plateforme », indique l’assurance, qui a également publié une notice d’information sur son site.

État civil et numéros de sécurité sociale en fuite

L’incident en question a notamment exposé les données d’état-civil des adhérents (nom, prénom, date et rang de naissance), le numéro de sécurité sociale, le numéro de contrat, et les dates de début et de fin de couverture.

Les informations bancaires, informations de contact, mots de passe et informations de santé (notamment soins ou remboursements) ne sont en revanche pas concernées par l’incident et sont toujours en sécurité.

Alan affirme en revanche n’avoir subi aucune intrusion au niveau de ses propres systèmes. « Votre espace personnel Alan est toujours accessible et sécurisé depuis votre application, et la gestion de vos remboursements continue sans interruption d’activité », écrit l’entreprise.

Extrait de l’email envoyé le 23 mai par Alan à certains de ses clients – capture d’écran Next

Côté Almerys, la découverte de l’incident a motivé la coupure du site de prise en charge (destiné aux transmissions). « En conséquence, les professionnels de santé (optique, audio, hôpitaux) peuvent rencontrer des difficultés pour soumettre des demandes de prise en charge pour les affiliés Alan », avertit l’assurance.

À ce stade, Alan communique de façon préventive, expliquant ne pas avoir encore la liste détaillée des personnes ou comptes concernés par la fuite. En attendant une information individuelle plus précise, l’assurance santé appelle clients et adhérents à la vigilance, notamment face à des communications suspectes évoquant la santé ou se revendiquant d’établissements et organismes du secteur.

« Nous avons immédiatement notifié l’ACPR (autorité de régulation des assurances), et nous préparons également une notification à la Cnil », écrit Alan.

15 millions de numéros de sécu dans la nature ?

« L’incident serait dû à une intrusion frauduleuse sur le site de prise en charge d’Almerys », avance Alan. Le prestataire concerné n’a pas encore communiqué publiquement sur le sujet.

Cette alerte intervient deux jours après qu’un pirate a revendiqué une attaque réussie sur Almerys, et affirmé, le 21 mai dernier sur un forum spécialisé, proposer à la vente un fichier de 44 millions de lignes contenant notamment 15,45 millions de numéros de sécurité sociale uniques. « Souvent, tous les membres d’une même famille sont liés à un seul numéro de sécurité sociale, ce qui permet un accès complet aux informations familiales », vante le pirate.

Annonce du 21 mai qui propose à la vente un supposé fichier de 44 millions de lignes extrait des systèmes informatiques d’Almerys – capture d’écran Next

Rien ne permet toutefois à ce stade d’entériner la portée réelle de cette nouvelle exfiltration. On se souvient en effet que la plateforme a déjà connu un incident de sécurité majeur début 2024, en même temps que son homologue et concurrent Viamedis. Cette double fuite concernait à l’époque « plus de 33 millions de personnes » d’après la Cnil. L’affaire avait motivé l’ouverture d’une enquête par le parquet de Paris. Deux ans plus tard, ce nouvel incident dont la portée réelle reste encore inconnue confirme que la chaîne de gestion des données de santé éveille toujours les appétits délictueux…

Commentaires (28)

votre avatar
Sérieux, encore!!!
En 2 ans, Almerys n'ont pas corrigé leur système informatique ??
votre avatar
Pourquoi faire ? Ce n'est pas elle qui gérera les conséquences...
votre avatar
Alors autant je suis d'accord que 2x en 2 ans c'est trop. Autant demander est-ce qu'ils n'ont pas corrigé le système révèle que tu ne comprends pas de quoi tu parles. C'est pas des pneus trop lisses qu'il faut changer mais des systèmes complexes qui s'enchevêtrent alors oui, il auraient dû combler les failles mais rien n'est simple.
votre avatar
Je pense qu'en tant qu'usager qui payons un service dont le prix a été fixé par celui qui les vends et les fournis, ta réponse n'est pas acceptable.

Parce que si on suit ta logique, la fiabilité et la sécurité des système serait une option parmi les autres. Or, non ce n'est pas une option mais un requis.
votre avatar
Idem Cerballiance... 2 fois en 2 ans, la première fois les infos personnelles (nom prenom, téléphone, ...), et la deuxième fois concernait aussi les résultats d'examen... 2 fois en 2 ans que leur prestataire se fait pouttrer...
votre avatar
C'est une blague ?!

La première fois ne leur a pas suffit ?
Je veux bien qu'aucun système informatique est infaillible. Mais c'est la deuxième fois en deux ans... il y a un gros gros problème de SI là.

J'espère sincèrement que la CNIL et les autorités vont taper fort cette fois-ci.
votre avatar
« L’incident serait dû à une intrusion frauduleuse sur le site de prise en charge d’Almerys »
Si je comprends bien, là, il y a eu carrément une intrusion physique dans les locaux de Almerys. Si le piratage a nécessité une opération si dangereuse, c'est probablement que leurs systèmes étaient plutôt bien sécurisés à distance.

Mais malgré tout, 2 attaques réussies en 2 ans, c'est beaucoup...
votre avatar
Je pense plutôt que c'est l'extranet d'Almerys dédié aux mutuelles qui a été accédé de manière frauduleuse.

Même si les pentest dans les locaux d'entreprise existent aussi.
votre avatar
Pourquoi alors parler de "site de prise en charge" et pas d'extranet ?
votre avatar
Site de prise en charge c'est indiqué dans l'article que c'est le site web de télétransmission (y a même le lien !) :yes:
votre avatar
Merci beaucoup ! J'avais oublié (ou pas vue) cette partie :
Côté Almerys, la découverte de l’incident a motivé la coupure du site de prise en charge (destiné aux transmissions).
votre avatar
Est-ce bien la peine de signaler cela au public alors qu'il ne peut rien y faire ? C'est juste anxiogène.
Ce n'est pas comme si on pouvait changer de prénom/nom/adresse ni regénérer un numéro de sécu. Alerter en cas de fuite du couple email/MDP est un autre sujet.

Partons simplement du principe que toutes nos données persos ont déjà fuité au moins une fois. Toujours rester vigilant sur le phishing élaboré à base d'emails ou appels personnalisés avec des infos, en théorie, privées. Le bon-sens finalement.

Ou alors j'ai une vision un peu trop fataliste de la chose ?
votre avatar
C'est pas dans le RGPD l'obligation de prévenir ?
votre avatar
Même si, il me semble, que se soit obligatoire, c'est pour la prévention de tentatives d'hameçonnages.

Genre, faux email d'ameli avec ton n° de sécu etc disant qu'un remboursement est en attente de versement mais que les coordonées bancaires ont besoin d'être mise à jour via le lien ci dessous....
votre avatar
Un peu fataliste aussi, j’ai recu le mail d’Alan samedi aussi et à part pousser un soupir et me dire tiens encore des infos en plus sur moi dans la nature je me sens plutot impuissant.
Je vais continuer à recevoir dans mes spams des mails chelou et je vais continuer à filtrer les appels de casse couille.
Autant les mecs qui sécurisent mal les systèmes font chier autant les petits cons qui achètent des scripts russes et abusent de l’IA pour essayer de gagner de l’argent en revendant nos données sans se soucier des conséquences sont tout autant à punir.
C’est pas parce que c’est open bar que tu peux te permettre de te servir et encore moins d’aller fièrement revendre tout ça sur le marché noir.
Ont dirait les mecs qui volent des vélos et te répondent qu’ils étaient mal attaché alors je me suis servi bah non dans un monde idéal on touche pas aux biens qui nous appartiennent pas et ont devrait pas avoir à tout sécuriser comme ça.
votre avatar
E-mail d'alerte reçu tout à l'heure en effet.
Statut de freelance en contrat direct avec Alan.
Bon, les fuites continuent même à l'arrivée de la sécheresse !
votre avatar
Et c'est bien le seul truc où il n'y aura jamais de pénurie ... :craint:
votre avatar
C'est ça qu'on appelle "le ruissellement" ?
votre avatar
Il faut croire qu'Alan est plus dans les clous que d'autres : ma complémentaire santé pro s'appuie aussi sur Almerys, mais ni il y a deux ans, ni cette fois-ci, je n'ai reçu d'information concernant cette fuite
:sm:
votre avatar
Pas reçu de mail pour cette fois-ci (pas encore?) chez ma mutuelle qui utilise aussi Almerys….
votre avatar
Pas de mail non plus mais mon numéro de secu est pourtant bien en vente sur le darknet depuis 2 ans. Tout comme mon ancien mot de passe france travail famille patrie, qui n'a pas non plus jugé bon d'envoyer un mail (ma conseillère était trop occupée à signer un contrat dans mon dos, comme quoi ils maitriseront bientôt toute la chaine d'usurpation d'identité).

Pour les opérateurs Tiers-payant, ils n'ont pas hésité à l'époque à déclarer que c'était aux mutuelles d'informer leurs clients. Mutuelles qui se sont empressé de jeter la patate chaude derrière la haie. Et puisqu'ils ne font face à aucune sanction, aucun licenciement, ni aucune condamnation, je vois mal pourquoi ils prendraient leur responsabilités (bien qu'ils encaissent le salaire qui va avec ces responsabilités).

Ironie du sort, comme le relèvait l'article de next à l'époque, c'est bien les personnes qui n'avaient pas de compte ameli qui étaient les plus vulnérables, puisqu'il était possible de faire un compte france-connect à partir d'un compte ameli bidon. Et toutes les infos nécessaires pour le créer étaient contenues dans la fuite.
votre avatar
On nous dit à chaque fois que nos données bancaires ne sont pas affectées.
Pourquoi on ne securise pas toute les données nous concernant de la même manière que les données bancaires du coup ? 🤔
votre avatar
Parce qu'Almerys concentre la partie remboursement des professioniels via le tiers payant, pas celui des particuliers. Celui ci est gérée par chaque mutuelle "cliente" d'Almerys
votre avatar
La vraie question, c'est pourquoi un prestataire qui ne sert que de passe-plat entre la sécurité sociale et l'assurance stocke autant de données qui ne lui sont d'aucune utilité.

Un hash de l'ensemble nom/prénom/numéro de sécu/numéro de contrat/... semble être suffisant pour la traçabilité.
votre avatar
Les opérateurs de Tiers-Payant ne servent pas que de passe-plat. Ils fournissent des outils aux Professionnels de Santé pour interroger directement les Complémentaires Santé, gérer les dossiers en cours, etc. Certaines complémentaires leur délèguent même tout un pan de gestion du Tiers-Payant.

Ça implique effectivement un gros besoin de sécurisation du SI et des échanges.
votre avatar
Un hash de l'ensemble nom/prénom/numéro de sécu/numéro de contrat/... semble être suffisant pour la traçabilité.
Et comment tu différencies les ayants-droits (typiquement les enfants) des asssurés dans ta proposition?
Almerys fait passer des factures électroniques de soin (FSE) qui contiennent:
Nom/Prénoms du malade avec la date de naissance + Numéro de sécurité sociale de l'assuré avec le numéro de dossier et enfin les actes facturés.
Les professionnels de santé interrogent régulièrement le prestataire pour savoir si le patient a une mutuelle ou non.
votre avatar
C'est pas un peu étonnant que sur toutes les assurances et mutuelles qui utilisent Almerys, seul Alan soit touché?
votre avatar
Alan n'est pas le seul touché, il y a plusieurs millions de fuite. En gros tout ceux dont la mutuelle dépend d'Almerys soit presque une sur 2 il me semble
Seul Alan a communiqué par contre