Une erreur dans le texte ?

Cyberattaque contre Viamedis, Almerys : Que peuvent faire les hackers avec votre numéro de sécurité sociale ?

Les données de santé prises pour cible par les hackers. L’opérateur de tiers-payant Almerys a été victime d'une cyberattaque, cinq jours après Viamedis, un autre spécialiste du secteur. Selon les déclarations de l'entreprise à l'AFP, l'usurpation d'identifiants et de mots de passe de « certains professionnels de santé clients du service a compromis leur compte et facilité l'accès » au portail Almerys dédié. « Des données personnelles d'assurés sociaux ont été exposées dans le cadre de cette intrusion » a précisé l'organisme.

Conformément aux règles du RGPD, les personnes concernées par la fuite de données seront informées par Almerys. Mais une autre question pourrait venir pour les usagers affectés : que peuvent faire les pirates avec mon numéro de sécurité sociale ?

Le numéro de sécurité sociale, une banque à information

Vous le savez peut-être, les 15 chiffres indiqués sur votre carte vitale ont tous une signification : aucun n'est généré aléatoirement, comme l'explique l'Assurance maladie. Plus précisément, les 13 premiers chiffres correspondent au numéro de sécurité sociale, aussi appelé numéro d'inscription au registre (NIR), et les 2 derniers ne servent qu'aux procédures de vérification. Chaque groupe de chiffres entre les espaces à un sens particulier.

Dans l'ordre, on retrouve :

Le chiffre 1 si vous êtes identifié comme homme, le chiffre 2 si vous êtes identifié comme femme.

Les 2 derniers chiffres de votre année de naissance.

Les 2 chiffres de votre mois de naissance.

Les 2 chiffres de votre département de naissance.

Les 3 chiffres du code géographique de votre commune de naissance.

Les 3 chiffres du numéro d'ordre de naissance. Ce numéro permet de distinguer les personnes qui seraient nées au même endroit à la même période. Il est inscrit sur le registre d'état civil de votre commune.

Et pour finir, les 2 chiffres de la « clé de contrôle ». C'est un nombre calculé à partir des 13 chiffres, qui permet de vérifier automatiquement que l'assuré a correctement indiqué les informations de son numéro de sécurité sociale.

Les premiers chiffres du numéro de sécurité sociale peuvent être devinés avec quelques recherches, mais obtenir l'ordre de naissance s'avère bien plus compliqué, ce qui garantit une certaine confidentialité. Inversement, obtenir le numéro de sécurité sociale de quelqu'un permet de déduire plusieurs informations personnelles.

Avec ces caractéristiques, le numéro de sécurité sociale est considéré à la fois comme une donnée à caractère hautement sensible au regard de la loi Informatique et Libertés de 1978, et comme un agrégat de données personnelles au regard du règlement général sur la protection des données -- le fameux RGPD. Ces deux qualifications font que sa demande et son traitement par des partis tiers doivent remplir de nombreuses exigences.

Le numéro de sécurité sociale, sésame pour les services publics

Votre numéro de sécurité sociale a fuité. Et maintenant ? Dans le cas de la fuite des données d'un organisme de santé, les informations contenues dans le numéro sont déjà indiquées sur le fichier. En revanche, le numéro en lui-même a une importante valeur, puisqu'il sert d'identifiant pour de nombreux services publics, parmi lesquels la caisse d'allocations familiales (CAF), la caisse de retraite, Pôle emploi, ou encore le site de l'Assurance Maladie. Pour se connecter à ameli.fr, par exemple, il faut renseigner son numéro de sécurité sociale et un mot de passe.

Si un malfaiteur obtenait ces informations, il pourrait avec accès à l'historique des paiements de sa victime. Surtout, il pourrait se servir de son accès à Ameli.fr pour abuser du système FranceConnect. Cet outil permet de se connecter à un service public avec les identifiants d'un autre service public, parmi 6. Par exemple, vous pouvez vous connecter au site d'Ameli avec les identifiants (numéro fiscal et mot de passe) de votre compte des impôts, et inversement.

En tout, FranceConnect revendique que 700 démarches sont accessibles par cette voie. Lorsqu'un administré se connecte grâce au service, il reçoit une notification sur son adresse email avec l'heure exacte de connexion, le nom du site et quels identifiants ont été utilisés.

Par ce biais, un malfaiteur peut théoriquement avoir accès à tous les documents administratifs d'une personne. Heureusement, ce genre de manipulation requiert un certain niveau d'expertise. Sans aller jusque-là, d'autres attaques, plus directes, sont à la portée de tous les malfaiteurs.

Changez vos mots de passe

Comme pour toute fuite de données, nous vous recommandons de changer vos mots de passe potentiellement concernés. Ici, il conviendrait de modifier votre code personnel, des comptes Ameli, de la mutuelle, France Connect, et tous les autres sites qui demandent votre numéro de sécurité sociale pour vous identifier. Cela peut prendre un peu de temps, mais vous évitera une potentielle usurpation d'identité.