Accéder au contenu Cybermalveillance.gouv.fr Assistance et prévention du risque numérique

L’hameçonnage aux couleurs de l’Assurance Maladie (Ameli)

Publié le 2 déc. 2021

Phishing email phishing prevention signaler phishing mail

17221 Temps de lecture : 25 min

Vous avez reçu un message (mail ou SMS) qui semble provenir de l’Assurance Maladie ou de sa plateforme Internet Ameli ? Ce message vous annonce un remboursement en attente ou la disponibilité d’une nouvelle carte Vitale : il vous invite à remplir un formulaire avec vos informations personnelles, voire de carte bancaire, pour obtenir ce remboursement inattendu, ou régler des frais d’expédition pour recevoir votre nouvelle carte Vitale ? Attention ! Vous êtes fort probablement face à une tentative d’hameçonnage qui usurpe l’identité de l’Assurance Maladie. L’objectif des cybercriminels est de dérober vos informations personnelles et/ou bancaires pour en faire un usage frauduleux.

Cybermalveillance.gouv.fr constate tout au long de l’année de multiples campagnes d’hameçonnage usurpant l’identité de l’Assurance Maladie. Phénomène cybercriminel récurrent depuis maintenant de nombreuses années, l’hameçonnage à l’Assurance Maladie constitue l’un des cas d’hameçonnage aux couleurs de services publics les plus régulièrement observés.

Cet article analyse cette menace et prodigue des conseils et des recommandations pour y faire face :

Vous pensez être victime d’un hameçonnage à l’Assurance Maladie ?
Notre dispositif conseille et oriente les victimes de cybermalveillance :

1. Les principales formes d’hameçonnage à l’Assurance Maladie/Ameli

L’hameçonnage (phishing en anglais) est une technique frauduleuse qui vise à usurper l’identité d’une marque ou d’une organisation connue pour inciter la victime à fournir des informations confidentielles et personnelles ou professionnelles (identité, mot de passe, compte d’accès, données bancaires…).

A. L’hameçonnage au faux remboursement en attente

Cette forme d’hameçonnage à l’Assurance Maladie/Ameli est la plus fréquemment rencontrée. Elle démarre par la réception d’un message (mail ou SMS) qui semble provenir de cet organisme. Ce message annonce un remboursement en attente. Dans certains cas rapportés, le message indique que le remboursement n’a pas pu être effectué en raison d’un problème détecté (un problème de numéro de téléphone par exemple) dans l’espace personnel du compte Ameli (Assurance Maladie En LIgne) de la victime, et ce, afin de crédibiliser la tentative d’escroquerie. La victime est alors invitée à confirmer ou mettre à jour ses informations personnelles pour percevoir le remboursement annoncé. Pour cela, le message reçu contient toujours un lien que la victime est invitée à suivre pour réaliser les démarches demandées.

Exemples de messages frauduleux ci-dessous :

phishing mail

Capture 1 : Message frauduleux aux couleurs de l’Assurance Maladie
phishing SMS
Capture 2 : SMS frauduleux aux couleurs
de l’Assurance Maladie
Source : Ameli

La victime est alors redirigée vers un site Internet trompeur créé par des escrocs usurpant l’identité de l’Assurance Maladie. Elle y est invitée à renseigner ses informations personnelles comme son nom, son prénom, sa date de naissance, son adresse postale ou de messagerie, son numéro de téléphone, le numéro de sa carte Vitale et, parfois, le mot de passe de connexion à son compte Ameli :

Phishing Ameli
Capture 3 : Site Internet frauduleux aux couleurs de l’Assurance Maladie

Après avoir renseigné ses informations personnelles, la victime est invitée à communiquer les coordonnées de sa carte bancaire pour obtenir le versement de la somme annoncée :

Phishing Ameli
Capture 4 : Page frauduleuse aux couleurs de l’Assurance Maladie avec demande d’informations bancaires

In fine, la victime aura communiqué un grand nombre d’informations personnelles et bancaires aux cybercriminels à l’origine de cette escroquerie.

B. L’hameçonnage au renouvellement de carte Vitale

Cette seconde forme d’hameçonnage aux couleurs de l’Assurance Maladie/Ameli est également régulièrement rencontrée. Elle prend la forme d’un message de demande de mise à jour des informations liées à la carte Vitale de la victime ou bien la disponibilité d’une nouvelle carte à récupérer. En pratique, les escrocs usurpent dans ces messages l’identité de l’Assurance Maladie mais aussi celle du site Service-Public.fr, qui est le portail officiel de l’administration. Dans de nombreux cas les victimes sont incitées à récupérer une pseudo nouvelle carte Vitale « V3 » ou « V4 », voire une « carte européenne d’assurance maladie ».

Exemple de message frauduleux :

Phishing Service Public
Capture 5 : Message frauduleux pour le renouvellement de la carte Vitale aux couleurs du portail Service-Public.fr

Comme pour l’escroquerie au faux remboursement, le message d’hameçonnage au renouvellement de carte Vitale contient un lien qui redirige la victime vers un site Internet trompeur créé par des escrocs :

Phishing carte vitale
Capture 6 : Site Internet frauduleux aux couleurs de la carte Vitale

Après avoir renseigné certaines informations personnelles, la victime est invitée à choisir un mode de livraison pour l’acheminement de la carte. Plusieurs entreprises de transport sont proposées :

Phishing livraison carte vitale
Capture 7 : Page frauduleuse aux couleurs de la carte Vitale avec demande de choix de l’entreprise de transport

Après ce choix, la victime est invitée à régler le montant des frais de livraison en indiquant ses coordonnées de carte bancaire :

Phishing paiement carte bancaire
Capture 8 : Page frauduleuse aux couleurs de la carte Vitale avec demande d’informations bancaires

Dans ce cas de figure comme le précédent, un grand nombre d’informations personnelles et bancaires aura également été transmis aux cybercriminels.

C. L’hameçonnage aux couleurs du service Ameli/FranceConnect

Une autre variante d’hameçonnage, rencontrée depuis la fin de l’année 2020, concerne le service FranceConnect.

FranceConnect

FranceConnect est un service proposé par l’État pour simplifier la connexion des internautes à plus de 1 000 services et administrations en ligne par l’intermédiaire d’un compte existant sur un site qui certifie leur identité numérique, comme celui des impôts (impots.gouv.fr) ou de l’Assurance Maladie (ameli.fr).

Le vol d’identifiants de connexion à ce service constitue donc une opportunité pour les cybercriminels de prendre le contrôle d’autres comptes appartenant à la victime, avec l’objectif d’usurper son identité pour utiliser en son nom les services offerts par les autres plateformes, et ainsi réaliser des opérations frauduleuses.

Une recrudescence des messages d’hameçonnage aux couleurs de ce service est observée, principalement sous la forme de messages imitant les notifications envoyées par FranceConnect après chaque connexion. Ces messages ont surtout pour but de dérober les identifiants Ameli des victimes, qui est le service le plus utilisé par FranceConnect.

Phishing FranceConnect
Capture 9 : Page frauduleuse avec une adresse usurpant l’identité du service FranceConnect avec demande d’informations de connexion au compte Ameli

Que faire si vous recevez un message frauduleux aux couleurs de FranceConnect ?

Comme indiqué sur le site Internet de FranceConnect, « si vous avez un doute sur l’expéditeur ou si vous recevez un mail alors que vous n’avez pas utilisé FranceConnect », n’y répondez pas et signalez le message frauduleux en cliquant depuis votre boite mail sur « Transférer » au niveau de l’e-mail que vous avez reçu et envoyez-le à l’adresse suivante : support.securite@franceconnect.gouv.fr. FranceConnect précise également que ses messages « sont toujours envoyés depuis une adresse avec un nom de domaine en “@franceconnect.gouv.fr“ ».

Si, suite à ce type de message, vous avez communiqué votre mot de passe, changez-le immédiatement sur le site ou service concerné, ainsi que sur tous les autres sites ou services sur lesquels vous pouviez l’utiliser (tous nos conseils pour gérer au mieux vos mots de passe).

2. Quelles sont les conséquences de l’hameçonnage à l’Assurance Maladie ?

Sur le site Internet frauduleux, les informations personnelles saisies par la victime sont récupérées par les escrocs qui pourront les utiliser directement ou même les revendre à d’autres cybercriminels qui en feront usage à leur tour, afin de mener des actions malveillantes. Par exemple, pour mener d’autres types d’escroqueries, des tentatives d’usurpation d’identité ou d’hameçonnage ciblé sur la victime.

Par ailleurs, en communiquant ses données de carte bancaire, la victime s’expose à des achats ou des paiements frauduleux réalisés par les escrocs qui les ont dérobées ou par d’autres cybercriminels qui les auront achetées. Il s’agira notamment d’achats de produits ou services effectués en ligne.

3. Comment ont-ils eu votre adresse de messagerie ou votre numéro de téléphone ?

Pour obtenir votre adresse de messagerie ou votre numéro de téléphone, les escrocs peuvent recourir à différentes méthodes comme l’hameçonnage, qui est une technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des informations personnelles (identité, mots de passe…) en lui envoyant un message usurpant l’identité d’un tiers de confiance. Ces informations dérobées circulent entre cybercriminels sous forme de fichiers qu’ils s’échangent ou se revendent.

Par ailleurs, votre adresse de messagerie et votre numéro de téléphone circulent déjà probablement sur Internet. En effet, vous les avez déjà renseignés sur différents sites Internet ou les utilisez régulièrement pour vous identifier et communiquer. Ces sites ont parfois revendu ou échangé leurs fichiers d’adresses de messagerie avec différents partenaires, dont certains peu scrupuleux, dans des objectifs marketing. Ces fichiers d’adresses sont parfois également dérobés ou récupérés par des cybercriminels pour être utilisés dans des campagnes frauduleuses, pour des attaques par hameçonnage.

4. Que faire si vous recevez un message d’hameçonnage à l’Assurance Maladie ?

Au préalable et comme le rappelle l’Assurance Maladie sur son site Internet, il ne vous sera jamais demandé par mail de communiquer des informations médicales, personnelles (mots de passe…) ou bancaires en dehors de l’espace sécurisé du compte Ameli.

Par ailleurs, l’Assurance Maladie indique qu’elle « n’utilise pas de référence de dossier dans l’objet des e-mails qu’elle envoie », qu’elle « ne demande jamais de validation de remboursement », qu’elle « ne se présente pas comme un service client » et qu’elle « n’écrit jamais en rouge dans ses messages aux assurés ».

À ce titre, n’accédez jamais à votre compte Ameli en suivant un lien contenu dans un e-mail ou un SMS. Privilégiez par exemple un accès par un lien favori que vous aurez vous-même créé ou encore par votre application Ameli sur votre téléphone mobile ou votre tablette.

  1. Au moindre doute, contactez directement l’Assurance Maladie pour confirmer le message que vous avez reçu. Si l’Assurance Maladie indique qu’elle n’est pas à l’origine de l’envoi de ce message, considérez qu’il s’agit d’une tentative d’escroquerie.

  2. Au moindre doute également, n’ouvrez pas les courriels ou leurs pièces jointes et, également dans le cas de SMS, ne cliquez jamais sur les liens. Tous nos conseils et nos recommandations sur l’hameçonnage (phishing en anglais).

  3. Avant de cliquer sur un lien douteux, positionnez le curseur de votre souris sur ce lien (sans cliquer). Sur votre téléphone mobile, faites un appui long sur le lien contenu dans le message (e-mail). Cela affichera l’adresse vers laquelle il pointe réellement afin d’en vérifier la vraisemblance.

  4. Si vous avez cliqué sur le lien, vérifiez l’adresse du site qui s’affiche dans votre navigateur. Si cela ne correspond pas exactement au site concerné, il s’agit certainement d’un site frauduleux. Il suffit parfois d’un seul caractère changeant pour vous tromper. En cas de doute, ne fournissez aucune information et fermez immédiatement la page correspondante.

  5. Signalez tout message (mail) ou site suspects à Signal Spam. S’il s’agit d’un SMS, signalez-le sur la plateforme 33 700 ou par SMS au 33 700. Ces services feront bloquer l’émetteur du message.

  6. Signalez l’adresse du site d’hameçonnage à Phishing Initiative qui demandera le blocage de ce site et demandera sa suppression.

  7. Si le message frauduleux est aux couleurs de FranceConnect, vous pouvez aussi le signaler en le transférant à l’adresse suivante : support.securite@franceconnect.gouv.fr.

  8. Signalez la tentative d’escroquerie sur la plateforme dédiée du ministère de l’Intérieur : Internet-signalement.gouv.fr.

5. Et si vous êtes victime d’hameçonnage à l’Assurance Maladie ?

  1. Faites opposition immédiatement. Si vous avez communiqué des éléments sur vos moyens de paiement ou si vous avez constaté des débits frauduleux sur votre compte, faites opposition immédiatement auprès de votre banque ou via le service interbancaire d’opposition à carte bancaire au 0 892 705 705 (ouvert 7 jours/7 et 24h/24), numéro surtaxé : coût d’un appel vers un numéro fixe + 0,34 € TTC/min, depuis un téléphone fixe ou mobile.

  2. Changez immédiatement vos mots de passe : si vous avez malencontreusement communiqué un mot de passe, changez-le immédiatement sur le site ou service concerné, ainsi que sur tous les autres sites ou services sur lesquels vous utilisiez ce mot de passe compromis (tous nos conseils pour gérer au mieux vos mots de passe). Si vous ne pouvez plus vous connecter ou modifier votre mot de passe, signalez immédiatement le piratage de votre compte à l’organisme concerné :
    Assurance Maladie/Ameli : muni de votre carte Vitale, contactez votre Caisse Primaire d’Assurance Maladie (CPAM) au 36 46.
    FranceConnect (formulaire en ligne) : https://app.franceconnect.gouv.fr/support/formulaire?faq=security

  3. Conservez les preuves et, en particulier, le message malveillant reçu.

  4. Si vous constatez des opérations frauduleuses réalisées avec votre carte bancaire, signalez-les auprès de la plateforme Perceval du ministère de l’Intérieur. Ce service permet aux victimes de fraude à la carte bancaire de signaler en ligne l’escroquerie dont elles ont été victimes, et ce, même si elles ont été remboursées par leur banque. Votre signalement aidera les autorités à identifier les auteurs de ces fraudes. À noter que le signalement sur la plateforme Perceval ne se substitue pas au dépôt de plainte.

  5. Déposez plainte au commissariat de police ou à la brigade de gendarmerie ou par écrit au procureur de la République du tribunal judiciaire dont vous dépendez en fournissant toutes les preuves en votre possession.
    Si vous êtes un particulier, vous pouvez être accompagné gratuitement dans cette démarche par l’association France Victimes au 116 006 (appel et service gratuits), qui opère le numéro d’aide aux victimes du ministère de la Justice. Service ouvert 7 jours sur 7 de 9h à 19h.

  6. Demandez à votre banque le remboursement d’éventuelles opérations frauduleuses. Certaines banques exigeront la preuve du dépôt de plainte ou le récépissé de signalement Perceval pour instruire votre demande.

  7. Signalez le message reçu et le site d’hameçonnage aux différents services présentés au chapitre précédent.

  8. Pour être conseillé dans vos démarches, contactez la plateforme Info Escroqueries du ministère de l’Intérieur au 0 805 805 817 (appel et service gratuits). Le service est ouvert de 9h à 18h30 du lundi au vendredi.
A lire aussi
Fraude à la carte bancaire, que faire ?
Fraude à la carte bancaire, que faire ?
Lire la fiche
A lire aussi
Comment signaler un mail de phishing ou d’hameçonnage ?
Comment signaler un mail de phishing ou d’hameçonnage ?
Voir l’actualité

6. Quelles infractions peuvent-être retenues contre les cybercriminels ?

En fonction du cas d’espèce, les infractions suivantes peuvent être retenues :

Escroquerie (article 313-1 du code pénal) : l’escroquerie est le fait, soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’abus d’une qualité vraie, soit par l’emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge. Délit passible d’une peine d’emprisonnement de cinq ans et de 375 000 euros d’amende.

Collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite (article 226-18 du code pénal) : une telle collecte constitue un délit passible d’une peine d’emprisonnement de cinq ans et de 300 000 euros d’amende.

Accès frauduleux à un système de traitement automatisé de données (article 323-1 du code pénal) : le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est passible de deux ans d’emprisonnement et de 60 000 euros d’amende. Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 100 000 euros d’amende.

Contrefaçon et usage frauduleux de moyen de paiement (articles L163-3 et L163-4 du code monétaire et financier) : délit passible d’une peine d’emprisonnement de sept ans et de 750 000 euros d’amende.