S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Alan alerte sur une fuite de données chez Almerys, son prestataire de tiers-payant

Bis repetita placent

Alan alerte sur une fuite de données chez Almerys, son prestataire de tiers-payant

Illustration : Flock

L’assurance santé Alan a alerté samedi les adhérents de ses entreprises clientes d’une fuite de sécurité survenue au niveau d’Almerys, son prestataire de tiers-payant. L’incident est susceptible d’avoir exposé état civil, numéro de sécurité sociale et numéro de contrat de l’assureur. Alan assure cependant que ses propres systèmes sont intacts et que les données de paiement, mots de passe et informations de santé ne sont pas concernés.

Nouvelle affaire sensible en vue dans le monde de la santé : l’assurance Alan, auréolée de son statut de licorne et d’une récente levée de fonds de 100 millions d’euros, a commencé à signaler par email aux employés des entreprises clientes de ses services d’un incident de sécurité susceptible d’avoir exposé des données personnelles.

« Vendredi 22 mai, notre prestataire en charge du tiers-payant (Almerys) nous a informés d’un incident de sécurité ayant touché leur plateforme », indique l’assurance, qui a également publié une notice d’information sur son site.

État civil et numéros de sécurité sociale en fuite

L’incident en question a notamment exposé les données d’état-civil des adhérents (nom, prénom, date et rang de naissance), le numéro de sécurité sociale, le numéro de contrat, et les dates de début et de fin de couverture.

Les informations bancaires, informations de contact, mots de passe et informations de santé (notamment soins ou remboursements) ne sont en revanche pas concernées par l’incident et sont toujours en sécurité.

Alan affirme en revanche n’avoir subi aucune intrusion au niveau de ses propres systèmes. « Votre espace personnel Alan est toujours accessible et sécurisé depuis votre application, et la gestion de vos remboursements continue sans interruption d’activité », écrit l’entreprise.

Extrait de l’email envoyé le 23 mai par Alan à certains de ses clients – capture d’écran Next

Côté Almerys, la découverte de l’incident a motivé la coupure du site de prise en charge (destiné aux transmissions). « En conséquence, les professionnels de santé (optique, audio, hôpitaux) peuvent rencontrer des difficultés pour soumettre des demandes de prise en charge pour les affiliés Alan », avertit l’assurance.

À ce stade, Alan communique de façon préventive, expliquant ne pas avoir encore la liste détaillée des personnes ou comptes concernés par la fuite. En attendant une information individuelle plus précise, l’assurance santé appelle clients et adhérents à la vigilance, notamment face à des communications suspectes évoquant la santé ou se revendiquant d’établissements et organismes du secteur.

« Nous avons immédiatement notifié l’ACPR (autorité de régulation des assurances), et nous préparons également une notification à la Cnil », écrit Alan.

15 millions de numéros de sécu dans la nature ?

« L’incident serait dû à une intrusion frauduleuse sur le site de prise en charge d’Almerys », avance Alan. Le prestataire concerné n’a pas encore communiqué publiquement sur le sujet.

Cette alerte intervient deux jours après qu’un pirate a revendiqué une attaque réussie sur Almerys, et affirmé, le 21 mai dernier sur un forum spécialisé, proposer à la vente un fichier de 44 millions de lignes contenant notamment 15,45 millions de numéros de sécurité sociale uniques. « Souvent, tous les membres d’une même famille sont liés à un seul numéro de sécurité sociale, ce qui permet un accès complet aux informations familiales », vante le pirate.

Annonce du 21 mai qui propose à la vente un supposé fichier de 44 millions de lignes extrait des systèmes informatiques d’Almerys – capture d’écran Next

Rien ne permet toutefois à ce stade d’entériner la portée réelle de cette nouvelle exfiltration. On se souvient en effet que la plateforme a déjà connu un incident de sécurité majeur début 2024, en même temps que son homologue et concurrent Viamedis. Cette double fuite concernait à l’époque « plus de 33 millions de personnes » d’après la Cnil. L’affaire avait motivé l’ouverture d’une enquête par le parquet de Paris. Deux ans plus tard, ce nouvel incident dont la portée réelle reste encore inconnue confirme que la chaîne de gestion des données de santé éveille toujours les appétits délictueux…

Commentaires (12)

votre avatar
Sérieux, encore!!!
En 2 ans, Almerys n'ont pas corrigé leur système informatique ??
votre avatar
Pourquoi faire ? Ce n'est pas elle qui gérera les conséquences...
votre avatar
Alors autant je suis d'accord que 2x en 2 ans c'est trop. Autant demander est-ce qu'ils n'ont pas corrigé le système révèle que tu ne comprends pas de quoi tu parles. C'est pas des pneus trop lisses qu'il faut changer mais des systèmes complexes qui s'enchevêtrent alors oui, il auraient dû combler les failles mais rien n'est simple.
votre avatar
C'est une blague ?!

La première fois ne leur a pas suffit ?
Je veux bien qu'aucun système informatique est infaillible. Mais c'est la deuxième fois en deux ans... il y a un gros gros problème de SI là.

J'espère sincèrement que la CNIL et les autorités vont taper fort cette fois-ci.
votre avatar
« L’incident serait dû à une intrusion frauduleuse sur le site de prise en charge d’Almerys »
Si je comprends bien, là, il y a eu carrément une intrusion physique dans les locaux de Almerys. Si le piratage a nécessité une opération si dangereuse, c'est probablement que leurs systèmes étaient plutôt bien sécurisés à distance.

Mais malgré tout, 2 attaques réussies en 2 ans, c'est beaucoup...
votre avatar
Est-ce bien la peine de signaler cela au public alors qu'il ne peut rien y faire ? C'est juste anxiogène.
Ce n'est pas comme si on pouvait changer de prénom/nom/adresse ni regénérer un numéro de sécu. Alerter en cas de fuite du couple email/MDP est un autre sujet.

Partons simplement du principe que toutes nos données persos ont déjà fuité au moins une fois. Toujours rester vigilant sur le phishing élaboré à base d'emails ou appels personnalisés avec des infos, en théorie, privées. Le bon-sens finalement.

Ou alors j'ai une vision un peu trop fataliste de la chose ?
votre avatar
C'est pas dans le RGPD l'obligation de prévenir ?
votre avatar
Un peu fataliste aussi, j’ai recu le mail d’Alan samedi aussi et à part pousser un soupir et me dire tiens encore des infos en plus sur moi dans la nature je me sens plutot impuissant.
Je vais continuer à recevoir dans mes spams des mails chelou et je vais continuer à filtrer les appels de casse couille.
Autant les mecs qui sécurisent mal les systèmes font chier autant les petits cons qui achètent des scripts russes et abusent de l’IA pour essayer de gagner de l’argent en revendant nos données sans se soucier des conséquences sont tout autant à punir.
C’est pas parce que c’est open bar que tu peux te permettre de te servir et encore moins d’aller fièrement revendre tout ça sur le marché noir.
Ont dirait les mecs qui volent des vélos et te répondent qu’ils étaient mal attaché alors je me suis servi bah non dans un monde idéal on touche pas aux biens qui nous appartiennent pas et ont devrait pas avoir à tout sécuriser comme ça.
votre avatar
E-mail d'alerte reçu tout à l'heure en effet.
Statut de freelance en contrat direct avec Alan.
Bon, les fuites continuent même à l'arrivée de la sécheresse !
votre avatar
Et c'est bien le seul truc où il n'y aura jamais de pénurie ... :craint:
votre avatar
Il faut croire qu'Alan est plus dans les clous que d'autres : ma complémentaire santé pro s'appuie aussi sur Almerys, mais ni il y a deux ans, ni cette fois-ci, je n'ai reçu d'information concernant cette fuite
:sm:
votre avatar
Pas reçu de mail pour cette fois-ci (pas encore?) chez ma mutuelle qui utilise aussi Almerys….