Passer au contenu

L’Assurance Maladie dément la fuite des données médicales de 34 millions de Français

Un pirate affirme avoir dérobé les données personnelles de plus de 34 millions d’assurés français via le Dossier Médical Partagé (DMP), le carnet de santé numérique géré par l’Assurance Maladie. La liste des données évoquées comprend des noms, des numéros de sécurité sociale, et l’IBAN. Derrière les grandes déclarations sur le dark web, les experts en cybersécurité doutent sérieusement de l’authenticité de la fuite. Par ailleurs, l’Assurance Maladie elle-même dément formellement toute intrusion.

Mise à jour le 4 juin à 11h08

L’Assurance Maladie vient de nous communiquer le résultat de ses investigations. L’organisme indique que « les conclusions des investigations approfondies réalisées par nos équipes spécialisées en cybersécurité excluent toute extraction massive de données concernant le Dossier Médical Partagé (DMP) ou le compte ameli ». Par ailleurs, « le DMP fait l’objet d’une surveillance permanente, incluant une correction des éventuelles vulnérabilités identifiées, notamment par le biais de bug bounties menés avec des hackers éthiques ».

« Concernant les usurpations d’identité de deux professionnels de santé et les connexions via e-cps au DMP revendiquées par le hacker, elles n’ont pas pu donner lieu à une collecte de données à grande échelle car des garde-fous s’enclenchent automatiquement pour bloquer l’accès en cas de mésusage. Un des professionnels de santé a en effet l’objet d’une usurpation en mars dernier mais son accès a été bloqué très rapidement et définitivement grâce au dispositif de contrôle. Quant au second professionnel de santé mentionné par le hacker nos vérifications montrent qu’il ne s’est jamais connecté au DMP. Pour de plus amples informations sur la création et la gestion des e-cps, nous vous invitons à contacter l’Agence du numérique en santé (ANS). Enfin, l’Assurance Maladie saisira les autorités judiciaires compétentes, compte tenu des perturbations organisationnelles engendrées par cette prétendue attaque massive du DMP qui a mobilisé ses équipes pour mener des investigations rapides, ainsi que du préjudice d’image causé au DMP », nous explique l’Assurance Maladie.


Dans la journée du mardi 2 juin 2026, la nouvelle d’une fuite de données du DMP (Dossier Médical Partagé) s’est répandue sur les réseaux sociaux, en particulier sur X. Selon le compte seblatombe, spécialisé dans les incidents de sécurité, le service public numérique de santé français a été victime d’un piratage. Géré par l’Assurance Maladie, le carnet de santé contient des informations sensibles sur de nombreux Français.

Un pirate aurait mis la main sur les données personnelles de plus de 34 millions de personnes, dont les noms et prénoms, les numéros de sécurité sociale, l’IBAN, les adresses postales, les adresses e-mail, et les numéros de téléphone. Le hacker, opérant sous le pseudonyme « Lagui » a mis en vente sur un forum du dark web toutes les données qu’il prétend avoir volé.

Le cybercriminel indique avoir commencé par usurper l’identité numérique d’un médecin via une carte e-CPS.  Il s’agit de la plateforme qui certifie l’identité professionnelle des acteurs du secteur de la santé (médecins, infirmiers, pharmaciens, etc.) et leur donne accès à différents services et systèmes d’information. Ensuite, le pirate a exploité une faille de sécurité une faille permettant de faire défiler automatiquement les dossiers en modifiant un seul paramètre dans l’URL.

À lire aussi : 15 millions de numéros de sécurité sociale piratés – Almerys est victime d’une nouvelle fuite de données

Des échantillons qui posent question

Pour prouver ses dires, le pirate a mis en ligne une série d’échantillons. La présence de certaines informations dans les échantillons, comme l’IBAN, laisse penser que le cybercriminel a en partie pioché dans d’autres répertoires compromis pour composer la base de données. C’est l’avis du chercheur Christophe Boutry, très actif sur X. Il estime que « c’est surtout un agrégat de données recyclées repeint aux couleurs du DMP ». Selon lui, il est probable que le pirate cherche à faire parler de lui en recyclant des données qui ont déjà été piratées. 

Par ailleurs, le chercheur s’étonne de l’absence de données vraiment médicales. Dans les échantillons, on ne trouve « pas une ordonnance, pas une analyse, pas un champ libre de praticien, rien ». Selon lui, « ce n’est pas une base, ce sont deux fuites différentes scotchées sous la même étiquette ». Le cybercriminel se serait simplement amusé à combiner plusieurs bases de données déjà en circulation pour donner l’illusion qu’il a piraté le Dossier Médical Partagé.

À lire aussi : qui sont vraiment les pirates qui multiplient les cyberattaques en France ?

L’Assurance Maladie dément une cyberattaque

Pour en avoir le cœur net, nous sommes entrés en contact avec l’Assurance Maladie. L’organisme affirme n’avoir trouvé aucune preuve d’une intrusion dans ses systèmes informatiques, corroborant la thèse d’un pirate cherchant à tromper ses pairs. L’Assurance Maladie indique que « les investigations approfondies menées par les spécialistes de nos systèmes d’information et de cybersécurité » n’ont pas permis de trouver des « éléments attestant d’une fuite de données massives ».

« Nos experts ont vérifié si une fuite pouvait avoir eu lieu via les modes opératoires présentés dans la revendication et indiquent qu’aucune attaque de ce type n’a été pour l’instant détectée. Ils n’ont pas non plus relevé d’activité anormale en volume via un accès par e-cps. Nos investigations se poursuivent afin de pouvoir consolider ces conclusions », précise l’Assurance Maladie dans un communiqué adressé à 01net.

Quoi qu’il en soit, l’organisme s’est engagé à transmettre « un signalement au procureur de la République ». Les revendications du pirate surviennent dans un climat bien particulier en France. Ces derniers mois, les fuites de données d’organismes publics et privés se sont multipliées dans l’Hexagone. Récemment, l‘opérateur de tiers payant Almerys a d’ailleurs été à nouveau piraté, tout comme Pierre et Vacances-Center Parcs, Belambra, Gîtes de France ou encore Bouygues Telecom.

👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.