Le numéro de sécurité sociale est une de vos données personnelles les plus précieuses, mais savez-exactement pourquoi ?

Mise à jour du 19 mars 2021 : Correction d’une erreur sur les informations demandées lors de la création d’un compte Ameli  : l’utilisateur doit aussi renseigner le numéro de série de sa carte vitale et une partie de ses coordonnées bancaires. Ces exigences protègent la procédure de création de compte contre les fuites, contrairement à ce que nous avions indiqué dans un premier temps.

Article original du 10 mars 2021 : 

Fin février 2021, un fichier contenant près de 500 000 numéros de sécurité sociale de Français a fuité. Sur la même ligne que le numéro se trouvaient d’autres données personnelles, comme l’identité de la personne et son adresse. Cette base de données a circulé gratuitement et massivement pendant plusieurs jours, à la fois dans les milieux cybercriminels et parmi les experts en cybersécurité. Les autorités ont fini par prendre quelques mesures pour limiter sa diffusion, mais il n’est plus vraiment possible de l’empêcher. Le fichier a été téléchargé et copié des milliers de fois : il continuera de s’échanger.

Les données proviennent de 27 laboratoires médicaux, et à l’heure actuelle, les autorités soupçonnent un éditeur de logiciel de saisie d’information médicale d’être le maillon faible qui a permis aux hackers de s’emparer des données. Si les victimes de la fuite n’ont pas encore été contactées, elles devraient bientôt l’être, a garanti la Cnil, l’autorité française des données. Savoir si leurs données faisaient partie du fichier était la première préoccupation des Français après les révélations.

Mais une autre question pourrait venir quand elles seront averties : mon numéro de sécurité sociale a fuité, est-ce que c’est grave ?

Le numéro de sécurité sociale, une banque à information

Vous le savez peut-être, les 15 chiffres indiqués sur votre carte vitale ont tous une signification : aucun n’est généré aléatoirement, comme l’explique l’Assurance maladie. Plus précisément, les 13 premiers chiffres correspondent au numéro de sécurité sociale, aussi appelé numéro d’inscription au registre (NIR), et les 2 derniers ne servent qu’aux procédures de vérification. Chaque groupe de chiffres entre les espaces à un sens particulier.

Dans l’ordre, on retrouve :

  • Le chiffre 1 si vous êtes identifié comme homme, le chiffre 2 si vous êtes identifié comme femme.
  • Les 2 derniers chiffres de votre année de naissance.
  • Les 2 chiffres de votre mois de naissance.
  • Les 2 chiffres de votre département de naissance.
  • Les 3 chiffres du code géographique de votre commune de naissance.
  • Les 3 chiffres du numéro d’ordre de naissance. Ce numéro permet de distinguer les personnes qui seraient nées au même endroit à la même période. Il est inscrit sur le registre d’état civil de votre commune.
  • Et pour finir, les 2 chiffres de la « clé de contrôle ». C’est un nombre calculé à partir des 13 chiffres, qui permet de vérifier automatiquement que l’assuré a correctement indiqué les informations de son numéro de sécurité sociale.
Les chiffres du numéro de sécurité sociale, expliqués par l’Assurance Maladie elle-même. // Source : ameli.fr

Les premiers chiffres du numéro de sécurité sociale peuvent être devinés avec quelques recherches, mais obtenir l’ordre de naissance s’avère bien plus compliqué, ce qui garantit une certaine confidentialité. Inversement, obtenir le numéro de sécurité sociale de quelqu’un permet de déduire plusieurs informations personnelles.

Avec ces caractéristiques, le numéro de sécurité sociale est considéré à la fois comme une donnée à caractère hautement sensible au regard de la loi Informatique et Libertés de 1978, et comme un agrégat de données personnelles au regard du règlement général sur la protection des données — le fameux RGPD. Ces deux qualifications font que sa demande et son traitement par des partis tiers doivent remplir de nombreuses exigences.

Le numéro de sécurité sociale, sésame pour les services publics

Votre numéro de sécurité sociale a fuité. Et maintenant ? Dans le cas de la fuite des données de laboratoire, les informations contenues dans le numéro sont déjà indiquées sur le fichier. En revanche, le numéro en lui-même a une importante valeur, puisqu’il sert d’identifiant pour de nombreux services publics, parmi lesquels la caisse d’allocations familiales (CAF), la caisse de retraite, Pôle emploi, ou encore le site de l’Assurance Maladie. Pour se connecter à ameli.fr, par exemple, il faut renseigner son numéro de sécurité sociale et un mot de passe.

Pour se connecter au compte formation, il est possible d’utiliser ses identifiants pour le site, ou d’utiliser ceux d’un autre service public, via France Connect. // Source : Capture d’écran Numerama.

Si un malfaiteur obtenait ces informations, Il pourrait avec accès à l’historique des paiements de sa victime. Surtout, il pourrait se servir de son accès à Ameli.fr pour abuser du système FranceConnect. Cet outil permet de se connecter à un service public avec les identifiants d’un autre service public, parmi 6. Par exemple, vous pouvez vous connecter au site d’Ameli avec les identifiants (numéro fiscal et mot de passe) de votre compte des impôts, et inversement. En tout, FranceConnect revendique que 700 démarches sont accessibles par cette voie. Lorsqu’un administré se connecte grâce au service, il reçoit une notification sur son adresse email avec l’heure exacte de connexion, le nom du site, et quels identifiants ont été utilisés.

Par ce biais, un malfaiteur peut théoriquement avoir accès à tous les documents administratifs d’une personne. Heureusement, ce genre de manipulation requiert un certain niveau d’expertise. Sans aller jusque-là, d’autres attaques, plus directes, sont à la portée de tous les malfaiteurs.

Protégez ce que vous pouvez

Si la fuite peut venir d’un laboratoire comme dans le récent incident, elle peut aussi venir de votre employeur, votre agence immobilière, ou encore votre pharmacie… Votre numéro de sécurité sociale, bien que donnée critique, est entre les mains de nombreuses personnes, toutes potentielles sources de fuite. Vous ne pourrez pas garantir les bonnes pratiques de sécurité de chacune d’entre elles, assurez-vous donc de correctement protéger ce qui est sous votre contrôle. Faites en sorte qu’aucun de vos comptes ne puisse être corrompu avec seulement votre numéro de sécurité sociale.

Crédit photo de la une : Louise Audry pour Numerama

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux