Un pirate a mis en vente sur un forum spécialisé, un fichier de 44 millions de lignes contenant plus de 15 millions de numéros de sécurité sociale selon le décompte de French Breaches. Au bout de la chaîne, c'est Almerys qui a été piraté. La plupart des personnes concernées n'avaient probablement jamais entendu ce nom avant le 23 mai. C'est précisément ce qui rend cette fuite intéressante à décortiquer.
Almerys, ce maillon dont vous ignoriez l'existence
Quand vous présentez votre carte de mutuelle chez le pharmacien et qu'il vous dit "vous n'avez rien à payer", il y a un opérateur invisible entre votre mutuelle et l'officine : le gestionnaire de tiers-payant. Almerys est l'un des plus gros acteurs français du métier. Il traite les flux pour des dizaines de mutuelles : Alan, MGEN, Harmonie Mutuelle, AG2R et beaucoup d'autres. Quand Alan a prévenu ses adhérents le 23 mai, elle ne faisait que répercuter une alerte reçue d'Almerys la veille.
Cette architecture est légale, courante et utile. Mais elle a un effet secondaire : vos données ne se trouvent pas qu'à un seul endroit. Elles circulent et elles s'accumulent chez des sous-traitants que vous ne choisissez pas. Quand l'un d'eux est compromis, c'est tout le bloc de ses clients qui tombe avec lui.
Ce qui a fuité et ce qui n'a pas fuité
Selon le communiqué d'Alan, confirmé par Next et Clubic, les données exposées sont :
-
état civil complet : nom, prénom, date et rang de naissance
-
numéro de sécurité sociale (NIR)
-
numéro de contrat et nom de l'assureur
-
dates de couverture santé
Les coordonnées bancaires, mots de passe, adresses postales et données médicales (remboursements, ordonnances, diagnostics) ne sont pas concernés. Cette précision compte : on n'est pas dans le cas Doctolib ou Dedalus avec des données de santé exposées. On est dans le cas administratif pur.
Mais le NIR, lui, est particulier. Contrairement à une carte bancaire, il ne se révoque pas. Vous gardez le même toute votre vie. Un pirate qui le détient avec votre état civil détient deux choses : un identifiant valable pour ouvrir des droits sociaux frauduleux et une matière première crédible pour un phishing très ciblé.
L'impact réel pourrait largement dépasser les 15 millions de personnes concernées : un NIR couvre souvent un foyer entier, conjoint et enfants étant rattachés au même numéro pour la couverture santé.
Que faire si vous êtes potentiellement concerné
Si vous êtes adhérent Alan, vous avez reçu un email le 23 mai. Si vous êtes adhérent d'une autre mutuelle utilisant Almerys (MGEN, Harmonie, AG2R et d'autres), surveillez votre boîte mail dans les prochains jours. En attendant les notifications officielles, quelques gestes utiles.
Méfiez-vous très activement de tout contact "santé" dans les semaines qui viennent. Les fraudeurs disposent maintenant d'un dossier crédible : ils connaissent votre nom, votre date de naissance, votre numéro de sécu et le nom de votre mutuelle. Un SMS qui dit "Votre carte Vitale doit être renouvelée, cliquez ici" deviendra beaucoup plus convaincant. Règle : ne cliquez jamais sur un lien dans ce genre de message. Allez directement sur ameli.fr ou sur le site de votre mutuelle en tapant l'adresse vous-même.
Si vous constatez une activité suspecte sur votre compte Ameli (remboursement que vous n'avez pas demandé, modification de coordonnées bancaires, déclaration d'arrêt de travail à votre insu), prévenez sans délai votre CPAM. Un dépôt de plainte est possible auprès du commissariat ou en ligne via la plateforme THESEE du ministère de l'Intérieur. C'est la principale forme d'exploitation à craindre d'un NIR volé : la fraude aux droits sociaux.
Faites-vous accompagner par Cybermalveillance.gouv.fr pour obtenir un diagnostic et être orienté vers les démarches adaptées. Le site propose un parcours d'assistance gratuit pour les particuliers victimes d'incidents numériques.
Vous pouvez aussi saisir la CNIL via cnil.fr/plaintes si vous estimez qu'Almerys ou votre mutuelle ont manqué à leurs obligations. La CNIL ne vous indemnisera pas directement. Ses décisions peuvent en revanche constituer des éléments utiles à l'appui d'une action en réparation devant les juridictions civiles, sur le fondement de l'article 82 du RGPD qui prévoit un droit à indemnisation des personnes ayant subi un dommage du fait d'une violation.
Le NIR ne se change pas, donc la vigilance n'est pas une affaire de quelques semaines. Comptez au minimum 12 à 24 mois avant de relâcher l'attention sur les sollicitations "santé" ou "Assurance Maladie" un peu étranges.
Almerys, deuxième fuite massive en deux ans
Le détail qui change tout : c'est la deuxième fois en 16 mois. En janvier 2024, Almerys et son concurrent direct Viamedis étaient piratés au même moment, exposant les données de plus de 33 millions de personnes selon la CNIL. Le parquet de Paris avait ouvert une enquête, toujours en cours quand la nouvelle attaque a été détectée.
Deux fuites massives en deux ans chez le même prestataire posent une question simple : pourquoi continue-t-il de traiter les données de la moitié des assurés français ? Une mutuelle qui choisit son gestionnaire de tiers-payant le fait sur des critères de coût, de couverture du réseau de soins et d'intégration technique. La résilience de l'infrastructure de cybersécurité du prestataire pèse rarement aussi lourd qu'elle le devrait. Tant que les sanctions CNIL resteront symboliques par rapport aux marges des intermédiaires de la chaîne santé, le calcul économique continuera de produire ce résultat.
Le RGPD a pourtant mis en place le bon mécanisme dès son entrée en application le 25 mai 2018. Ses articles 28 et 32 imposent au responsable de traitement de choisir un sous-traitant offrant des garanties suffisantes de sécurité et de rester comptable de ce choix. Une mutuelle ne se déresponsabilise pas en confiant la gestion technique à un tiers. Reste à voir si la CNIL traitera cette deuxième fuite Almerys comme une récidive aggravante. La réponse à cette question dira si le système se régule par le droit ou s'il continue de se réguler par la résignation des assurés.