Numéros de sécurité sociale : 33 millions de Français piratés

Sud Radio

08/02/2024

Avec Loïc Guézo, Expert en cybersécurité, Directeur stratégie chez Proofpoint

Retrouvez Sud Radio vous explique à 7h45 du lundi au vendredi.
---
Abonnez-vous pour plus de contenus : http://ow.ly/7FZy50G1rry

———————————————————————

▶️ Suivez le direct : https://www.dailymotion.com/video/x75...
Retrouvez nos podcasts et articles : https://www.sudradio.fr/

———————————————————————

Nous suivre sur les réseaux sociaux

▪️ Facebook :

/ sudradioofficiel
▪️ Instagram :

/ sudradioofficiel
▪️ Twitter :

/ sudradio
▪️ TikTok : https://www.tiktok.com/@sudradio?lang=fr

##SUD_RADIO_VOUS_EXPLIQUE-2024-02-08##

Catégorie

🗞

News

Transcription

Afficher la transcription complète de la vidéo

00:00 - Que se passe-t-il ? Sud Radio vous explique avec 33 millions de français piratés

00:04 avec leur numéro de carte de sécurité sociale.

00:08 Nous sommes avec Loïc Guézo, expert en cybersécurité,

00:11 directeur stratégique chez Proof Point. Bonjour !

00:15 - Bonjour !

00:17 - Bon déjà, expliquons un peu ce qui s'est passé sur ces 33 millions de données piratées

00:22 de la sécurité sociale à partir de deux complémentaires. Santé, c'est ça ?

00:27 - Oui, exactement. Alors en fait, ce ne sont pas les individus qui ont directement été piratés,

00:33 ce sont des plateformes techniques qui servent d'intermédiaires pour les mutuelles

00:37 et le calcul du tiers payant, pour la gestion du tiers payant.

00:40 Et ce sont les bases de données de ces prestataires de services qui ont été en partie révélées,

00:46 qui ont fuité. Donc le périmètre maximum fait effectivement aujourd'hui 33 millions de personnes,

00:52 mais aujourd'hui les investigations sont encore en cours pour déterminer le périmètre exact

00:56 qui est peut-être inférieur.

00:57 - Oui, c'est ça. Mais alors, quelles conséquences pour nous, pour vous,

01:01 si vous avez eu votre carte piratée ?

01:05 - Carte de sécurité sociale, attention, bien sûr, pas carte bancaire.

01:10 - Oui, alors aujourd'hui on n'est pas sur du bancaire, on est sur de la donnée qui concerne

01:15 principalement le numéro de sécurité sociale et puis des informations comme le nom de la personne

01:21 sur l'état civil, sa date de naissance et ce qui est intéressant c'est le nom de l'assureur santé,

01:27 ainsi c'est garanti qu'on va souscrire. Donc aujourd'hui ces données-là sont toutes seules

01:32 peu utilisables, mais si on les couple avec par exemple d'autres filtres de données qui ont eu

01:36 précédemment et on retrouve l'adresse mail de la personne, alors on va pouvoir envoyer,

01:41 enfin les pirates vont pouvoir envoyer un mail frauduleux qui va avoir l'air d'être tout à fait crédible

01:47 et qui là va pouvoir peut-être demander des informations bancaires ou financières et donc générer

01:52 du bénéfice pour l'attaquer.

01:54 - Alors comment ça s'est passé cette arnaque ? C'est du hameçonnage, c'est ça ? Quelle est la technique ?

01:59 - Alors a priori effectivement c'est du hameçonnage vers un prestataire de santé,

02:05 donc le hameçonnage c'est en fait l'envoi d'un email frauduleux qui, sous couvert d'être de confiance,

02:12 va récupérer par exemple le mot de passe et l'identifiant du prestataire de santé sur l'application

02:18 de gestion du tir payant et ensuite le pirate va utiliser lui en son nom propre ses identifiants

02:24 pour se connecter à la base de données du prestataire et récupérer, aspirer les données dont on parle

02:30 aujourd'hui qui couvrent potentiellement entre un million de personnes.

02:33 - Oui, alors quel type de pirate peuvent faire ça et pourquoi d'ailleurs ?

02:37 - Principalement aujourd'hui les motivations sur ce type d'attaques sont de la cybercriminalité à vocation financière

02:43 puisqu'on va pouvoir réutiliser ces données, comme je le disais tout à l'heure, en envoyant un mail frauduleux

02:48 qui va générer une chaîne qui au final va rapporter de l'argent aux criminels.

02:53 Aujourd'hui les mails sont utilisés pour ce type d'attaques vers le grand public

02:57 puisque c'est un système qui est très peu sécurisé et qui permet de se faire passer par exemple là

03:03 pour un assureur de santé qui retourne vers le bénéficiaire pour lui faire valoir un trop perçu,

03:10 lui proposer de le rembourser sous couvert de données somnures au carte-volant par exemple.

03:14 - Comme quoi il faut être extrêmement vigilant et prudent quand on reçoit certains mails

03:19 et si il y a un petit doute il ne faut pas y répondre, on le dit souvent, mais c'est compliqué

03:23 parce que souvent il y a des mails qui ressemblent à des... qui semblent être très officiels, bien sûr.

03:28 Et pour des grandes entreprises ou des grandes sociétés comme des Mutuelles ou autres,

03:35 il faut avoir des réseaux sacrément solides quand même aujourd'hui, Loïc Guézeau.

03:40 - Effectivement, sur ce genre de sujet de cybersécurité vers les assureurs et les bénéficiaires,

03:46 il y a plusieurs volets, il y a un volet technologique évidemment,

03:48 il faut mettre ce qu'on appelle des passerelles de sécurité qui vont contrôler que les mails

03:52 qui sont reçus sont de bonne qualité, mais il y a surtout ce phénomène d'usurpation

03:57 qui permet à tout un chacun de se faire passer par exemple pour un assureur.

04:00 Aujourd'hui on a une réponse des grands opérateurs de messagerie, comme Google, Yahoo,

04:05 depuis le 1er février ils imposent en effet la mise en place d'un protocole de sécurité

04:10 qui s'appelle D-Mark et qui permet de garantir la provenance des emails

04:15 qui sont envoyés vers le grand public.

04:17 C'est en train de se mettre en place et c'est une bonne mesure.

04:20 - Oui, bon et pour l'instant les Français eux-mêmes qui ont eu leur numéro piraté,

04:24 ils continuent d'utiliser, il n'y a pas de contre-indication, non ?

04:28 - Aujourd'hui le numéro piraté c'est le numéro de sécurité sociale,

04:31 il n'est pas piraté, il est diffusé.

04:34 - Il est diffusé, ben oui.

04:35 - Mais un numéro de sécurité sociale on ne change pas.

04:38 Toutes les mesures autour vont permettre de garantir que ces données sont très...

04:43 - Donc regardez bien peut-être vos remboursements dans les jours qui viennent,

04:48 si vous faites partie notamment de ces deux complémentaires.

04:51 - Absolument et puis surtout attention si vous recevez un mail

04:54 qui semble se présenter d'un assureur ou lié à ces aspects de tiers payants,

04:59 que ce ne soit pas un mail frauduleux utilisant ces données récemment récupérées.

05:03 - Oui et les complémentaires c'est Almeris me semble-t-il et je n'ai plus le nom de l'autre.

05:09 - Alors aujourd'hui c'est deux prestataires qui s'appellent Diamilis et Almeris

05:13 mais qui couvrent même des dizaines d'assureurs santé,

05:18 qui couvrent plus de 5% du parc français d'assureurs de santé en tant que sous-traitants.

05:23 - Oui Diamilis et Almeris. Merci Loïc Guézon.

Recommandations