Senior recevant une alerte sur son smartphone © SeniorActu.com
Le même prestataire piraté deux fois en dix-sept mois
Le 22 mai 2026, un individu s'est introduit dans le portail de prise en charge d'Almerys, un opérateur de tiers-payant basé à Clermont-Ferrand qui gère les flux de remboursement pour près de 20 millions de bénéficiaires de complémentaires santé. La méthode est d'une banalité déconcertante : une usurpation d'identifiants d'un compte gestionnaire, sans aucune double authentification.
Almerys a confirmé l'attaque le 26 mai et précisé les données exposées : nom, prénom, date de naissance, numéro de sécurité sociale, nom de l'assureur, numéro de contrat et dates de couverture. Pas de données bancaires, pas de données médicales, pas d'adresse postale ni de téléphone.
Sauf que le fichier en vente sur le dark web raconte une autre histoire. D'après le site spécialisé French Breaches, qui a signalé l'affaire le premier, il contiendrait 44 millions de lignes et plus de 15,4 millions de numéros de sécurité sociale uniques.
674 organismes de santé seraient potentiellement exposés. La revendication va bien au-delà de la confirmation officielle.
Et c'est la deuxième fois. Fin janvier 2024, Viamedis avait été piraté, suivi d'Almerys début février, selon le même mode opératoire : usurpation d'identifiants de professionnels de santé.
La CNIL avait ouvert une enquête. Ses conclusions n'ont toujours pas été rendues publiques.
Plus de deux ans plus tard, le même prestataire, la même faille, une nouvelle fuite.
Almerys a confirmé l'attaque le 26 mai et précisé les données exposées : nom, prénom, date de naissance, numéro de sécurité sociale, nom de l'assureur, numéro de contrat et dates de couverture. Pas de données bancaires, pas de données médicales, pas d'adresse postale ni de téléphone.
Sauf que le fichier en vente sur le dark web raconte une autre histoire. D'après le site spécialisé French Breaches, qui a signalé l'affaire le premier, il contiendrait 44 millions de lignes et plus de 15,4 millions de numéros de sécurité sociale uniques.
674 organismes de santé seraient potentiellement exposés. La revendication va bien au-delà de la confirmation officielle.
Et c'est la deuxième fois. Fin janvier 2024, Viamedis avait été piraté, suivi d'Almerys début février, selon le même mode opératoire : usurpation d'identifiants de professionnels de santé.
La CNIL avait ouvert une enquête. Ses conclusions n'ont toujours pas été rendues publiques.
Plus de deux ans plus tard, le même prestataire, la même faille, une nouvelle fuite.
Le Dossier Médical revendiqué, pas confirmé
Dix jours après la confirmation d'Almerys, le même cybercriminel, opérant sous le pseudonyme « Lagui », a publié une nouvelle annonce sur un forum spécialisé. Cette fois, la cible affichée est autrement plus sensible : le Dossier Médical Partagé, le carnet de santé numérique intégré à Mon Espace Santé.
La revendication porte sur 34,2 millions d'enregistrements. Le pirate affirme y trouver des noms, adresses, numéros de téléphone, et surtout des numéros de sécurité sociale dans environ 80 % des fiches et des IBAN dans 30 à 40 % d'entre elles.
Il prétend avoir compromis le compte d'une infirmière via une opération d'ingénierie sociale. L'Assurance Maladie a réagi en indiquant mener des investigations, tout en penchant vers une fausse alerte.
Aucune connexion non autorisée n'aurait été détectée à ce stade sur Mon Espace Santé.
Or un détail retient l'attention des spécialistes : les échantillons publiés ne contiennent aucune donnée médicale. Pour une base prétendument issue du Dossier Médical Partagé, c'est troublant.
Le site French Breaches lui-même note que le nom du DMP est probablement l'élément le plus vendeur de cette publication. Les données pourraient provenir d'une tout autre source, croisée et rebaptisée pour en gonfler la valeur marchande.
La revendication porte sur 34,2 millions d'enregistrements. Le pirate affirme y trouver des noms, adresses, numéros de téléphone, et surtout des numéros de sécurité sociale dans environ 80 % des fiches et des IBAN dans 30 à 40 % d'entre elles.
Il prétend avoir compromis le compte d'une infirmière via une opération d'ingénierie sociale. L'Assurance Maladie a réagi en indiquant mener des investigations, tout en penchant vers une fausse alerte.
Aucune connexion non autorisée n'aurait été détectée à ce stade sur Mon Espace Santé.
Or un détail retient l'attention des spécialistes : les échantillons publiés ne contiennent aucune donnée médicale. Pour une base prétendument issue du Dossier Médical Partagé, c'est troublant.
Le site French Breaches lui-même note que le nom du DMP est probablement l'élément le plus vendeur de cette publication. Les données pourraient provenir d'une tout autre source, croisée et rebaptisée pour en gonfler la valeur marchande.
Votre numéro de Sécu vaut plus qu'un mot de passe
Un numéro de sécurité sociale ne se réinitialise pas. Il vous suit toute votre vie, et couplé à votre date de naissance et au nom de votre mutuelle, il constitue un kit prêt à l'emploi pour le phishing ciblé ou l'usurpation d'identité administrative.
La CNIL le répète depuis la première attaque de 2024 : les données volées lors d'une fuite sont systématiquement croisées avec celles d'autres piratages pour constituer des profils de plus en plus complets. Et les fuites ne manquent pas.
Le rapport annuel de la CNIL, publié en mai 2026, recense 6 167 violations de données en 2025, en hausse de 9,5 % sur un an. Un incident sur deux relève d'un piratage.
Sur le seul premier trimestre 2026, plus de 2 730 violations ont déjà été notifiées. La présidente de la CNIL résume la situation en trois mots : « Personne n'est épargné. »
Chaque fuite enrichit les précédentes, et les escrocs le savent.
La CNIL le répète depuis la première attaque de 2024 : les données volées lors d'une fuite sont systématiquement croisées avec celles d'autres piratages pour constituer des profils de plus en plus complets. Et les fuites ne manquent pas.
Le rapport annuel de la CNIL, publié en mai 2026, recense 6 167 violations de données en 2025, en hausse de 9,5 % sur un an. Un incident sur deux relève d'un piratage.
Sur le seul premier trimestre 2026, plus de 2 730 violations ont déjà été notifiées. La présidente de la CNIL résume la situation en trois mots : « Personne n'est épargné. »
Sur le même sujet :
Arnaques visant les seniors en 2026 : les 8 fraudes les plus dangereuses et comment s'en protéger
Le problème n'est pas seulement la fuite du moment. C'est l'accumulation : les données de la première attaque Almerys-Viamedis de janvier 2024, celles de Free, de France Travail, et maintenant cette nouvelle salve. Arnaques visant les seniors en 2026 : les 8 fraudes les plus dangereuses et comment s'en protéger
Chaque fuite enrichit les précédentes, et les escrocs le savent.
Le piège se referme après la fuite, pas pendant
La fuite a déjà eu lieu, et pour les victimes, le risque réel commence maintenant. Les escrocs ne frappent pas le jour du piratage : ils compilent, croisent, attendent, puis envoient un message parfaitement personnalisé.
Un faux SMS de votre mutuelle, un appel d'un soi-disant conseiller de l'Assurance Maladie qui connaît votre nom, votre date de naissance et votre organisme. Le scénario est rodé, et les données volées lui donnent sa crédibilité.
Premier réflexe : ne jamais communiquer de code, de mot de passe ni de coordonnées bancaires à la suite d'un appel ou d'un message, même si l'interlocuteur cite des informations exactes vous concernant. La plateforme Cybermalveillance.gouv.fr détaille la marche à suivre en cas de fuite de données personnelles.
Troisième réflexe : surveiller vos relevés bancaires et votre compte Ameli dans les semaines qui viennent. Un remboursement que vous n'avez pas demandé, une consultation que vous n'avez pas faite, un prélèvement inconnu : chacun de ces signaux mérite un appel immédiat.
Reste la question que nous posons depuis janvier 2024 : pourquoi le même prestataire, avec la même faille, peut-il être piraté deux fois sans qu'aucune double authentification n'ait été mise en place entre-temps ? La CNIL a annoncé que la moitié de ses contrôles en 2026 porteraient sur la cybersécurité.
Pour les assurés, la réponse viendra des conclusions de l'enquête ouverte par le parquet de Paris. Pour les escrocs, elle est déjà arrivée.
Un faux SMS de votre mutuelle, un appel d'un soi-disant conseiller de l'Assurance Maladie qui connaît votre nom, votre date de naissance et votre organisme. Le scénario est rodé, et les données volées lui donnent sa crédibilité.
Premier réflexe : ne jamais communiquer de code, de mot de passe ni de coordonnées bancaires à la suite d'un appel ou d'un message, même si l'interlocuteur cite des informations exactes vous concernant. La plateforme Cybermalveillance.gouv.fr détaille la marche à suivre en cas de fuite de données personnelles.
Sur le même sujet :
Arnaque Doctolib : un seul clic sur ce faux message peut vider votre compte en quelques minutes
Deuxième réflexe : changer le mot de passe de votre espace Ameli et de votre espace adhérent sur le site de votre complémentaire santé. Si vous utilisiez le même mot de passe ailleurs, changez-le aussi. Arnaque Doctolib : un seul clic sur ce faux message peut vider votre compte en quelques minutes
Troisième réflexe : surveiller vos relevés bancaires et votre compte Ameli dans les semaines qui viennent. Un remboursement que vous n'avez pas demandé, une consultation que vous n'avez pas faite, un prélèvement inconnu : chacun de ces signaux mérite un appel immédiat.
Reste la question que nous posons depuis janvier 2024 : pourquoi le même prestataire, avec la même faille, peut-il être piraté deux fois sans qu'aucune double authentification n'ait été mise en place entre-temps ? La CNIL a annoncé que la moitié de ses contrôles en 2026 porteraient sur la cybersécurité.
Pour les assurés, la réponse viendra des conclusions de l'enquête ouverte par le parquet de Paris. Pour les escrocs, elle est déjà arrivée.
