Le courtier en assurance Wazari informe ses clients d’un incident de sécurité lié à une attaque externe ayant touché un outil de gestion et de stockage documentaire utilisé dans le cadre de ses activités.
Dans un message adressé aux assurés, l’entreprise confirme que des données personnelles ont été téléchargées par un tiers non autorisé. Les accès à l’outil concerné ont depuis été suspendus.
Un incident possiblement lié à la fuite Assuréa
Cette alerte intervient peu après la revendication d’une fuite massive attribuée à Assuréa, acteur du groupe Meilleurtaux opérant dans la distribution de contrats d’assurance.
Les éléments publiés dans cette fuite mentionnaient des bases clients auto, des documents contenant des IBAN ainsi que des échanges avec pièces jointes. Wazari étant cité dans les communications envoyées aux assurés, un lien entre les deux incidents apparaît crédible, même s’il n’est pas officiellement confirmé à ce stade.
Des clients assurance automobile concernés
Wazari précise contacter des personnes ayant souscrit une assurance automobile via leur courtier partenaire. L’entreprise intervient comme intermédiaire dans la distribution de contrats d’assurance.
Les données potentiellement compromises incluent notamment :
- Nom et prénom
- Date de naissance
- Informations relatives au véhicule
- Données liées à la gestion du contrat d’assurance automobile
Pièces d’identité et justificatifs exclus à ce stade
Selon les investigations en cours, les pièces d’identité, permis de conduire et documents justificatifs ne seraient pas concernés par l’incident.
Cette précision reste importante, ces documents étant parmi les plus sensibles en cas de fuite de données dans le secteur assurance.
Risque immédiat : phishing et fraude ciblée
Wazari alerte ses clients sur un risque accru de fraude et d’hameçonnage. Les attaquants pourraient utiliser les informations récupérées pour se faire passer pour un assureur, un courtier, une banque ou une administration.
Les scénarios évoqués incluent :
- Demande urgente de paiement ou régularisation
- Faux remboursement à récupérer
- Lien frauduleux à ouvrir
- Demande de coordonnées bancaires ou identifiants
CNIL informée et plainte déposée
L’entreprise indique avoir engagé une enquête technique avec des experts externes en cybersécurité. Une notification à la CNIL a été réalisée, l’assureur concerné a été informé et une plainte a été déposée auprès des services de police.
Un nouveau rappel sur la chaîne de sous-traitance
Cette affaire illustre une nouvelle fois la sensibilité des intermédiaires du secteur assurance. Courtiers, grossistes et plateformes de gestion concentrent de grandes quantités de données clients, ce qui en fait des cibles privilégiées.
Même sans documents d’identité, des données d’état civil et de contrat suffisent souvent à construire des escroqueries très crédibles.