34 millions de dossiers médicaux français piratés : vraie fuite ou intox bien montée ?
Un pirate affirme avoir pillé le DMP. L’Assurance maladie dément, mais l’affaire sent trop fort pour être balayée.
Un pirate a affirmé détenir les données de santé de 34 millions de Français. Présentée ainsi, l’affaire a tout pour déclencher la panique : le carnet médical national éventré, des vies intimes transformées en marchandise, la santé publique exposée comme un fichier client. Mais l’histoire a depuis pris un tournant décisif.
Après plusieurs jours d’investigations, l’Assurance maladie affirme n’avoir identifié aucune extraction massive de données concernant le Dossier médical partagé (DMP) ou le compte ameli. [8] Elle annonce aussi saisir le procureur de la République sur le fondement de l’article 40 du Code de procédure pénale. [8]
Autrement dit : à ce stade, la revendication existe, mais la fuite massive, elle, n’est pas confirmée. Et dans une affaire de cybersécurité, cette nuance n’est pas une précaution de juriste : c’est la frontière entre l’enquête et le spectacle.
Dans cet article :
- La fuite massive s’éloigne, le test de confiance reste entier
- Le détail qui ne colle pas
- Les garde-fous institutionnels sont entrés en scène
- Le vrai problème : l’écosystème santé reste une usine à risques
- Les données de santé ne se réinitialisent pas
- Comment ne pas subir l’alerte
Mais avant de parler de fuite, il faut comprendre ce qui aurait été visé. Le DMP est un carnet de santé numérique intégré à Mon espace santé.
Il permet de centraliser des informations utiles au suivi médical : comptes rendus d’hospitalisation, résultats d’examens, traitements, antécédents, allergies, historique de soins, directives anticipées ou documents déposés par les professionnels de santé. [1, 2]
Son objectif est simple : éviter que les informations médicales se perdent entre le cabinet du médecin, l’hôpital, la pharmacie, le laboratoire et les urgences.
Sur le papier, c’est une bonne idée. Un patient inconscient aux urgences, un médecin qui doit connaître un traitement en cours, une ordonnance oubliée : dans ces situations, le DMP peut éviter des erreurs, fluidifier le soin et faire gagner un temps précieux.
Mais ce confort a un prix : plus les données de santé sont centralisées, plus leur protection devient critique. Le DMP n’est pas un banal compte en ligne. C’est une mémoire médicale. Et une mémoire médicale, lorsqu’elle fuit, ne se change pas comme un mot de passe.
La fuite massive s’éloigne, le test de confiance reste entier
La nouveauté est importante : l’Assurance maladie dit avoir analysé les modes opératoires décrits par le pirate présumé et n’avoir détecté aucune attaque de ce type. [8]
Elle précise aussi n’avoir observé aucune activité anormale via les accès professionnels e-CPS [4], utilisés par les soignants pour consulter les dossiers médicaux. [8] Ce point compte, car l’un des scénarios les plus crédibles reposait précisément sur une compromission d’accès professionnel.
Deux constats doivent donc être tenus ensemble. Le premier est que l'hypothèse d’une extraction massive directe du DMP est fortement fragilisée par les investigations annoncées. Le second est que cela ne rend pas le sujet anodin.
Sur une infrastructure aussi sensible, une revendication criminelle crédible en apparence suffit à révéler la pression permanente exercée sur la santé numérique. Le risque n’est pas seulement qu’une attaque réussisse, c’est que la confiance se fissure dès qu’un pirate sait raconter une histoire suffisamment plausible.
Le détail qui ne colle pas
Plusieurs éléments affaiblissent l’hypothèse d’un pillage direct du DMP.
D’abord, la présence supposée d’IBAN dans les échantillons. Problème : dans les descriptions officielles du DMP, les coordonnées bancaires ne font pas partie du cœur du dossier médical [1, 2]. Le DMP contient des informations de santé et d’identification utiles au soin, pas des informations bancaires destinées au paiement ou à la facturation.
Ensuite, selon les éléments rapportés, les échantillons diffusés ne contiendraient pas de données réellement médicales : ni ordonnance, ni compte rendu, ni commentaire de praticien. [8]
Ce détail change tout car il renforce l’hypothèse d’une base composite : un assemblage de données issues de plusieurs fuites, recyclées, enrichies, renommées, puis vendues sous une étiquette plus explosive.
Le marché noir adore cette mécanique. On prend de vieux fragments, on ajoute des champs venus d’ailleurs, on colle une bannière institutionnelle dessus, et soudain le fichier devient « historique ». Le pirate ne vend pas seulement des données, il vend une mise en scène.
✊ Posthumain n’existe que grâce aux abonnements.
Aucun algorithme. Aucune pub.
❤️ Soutenez-nous aujourd’hui et accédez immédiatement à tous les articles Premium.
Les garde-fous institutionnels sont entrés en scène
L’Assurance maladie affirme que des mécanismes de sécurité empêchent une collecte de données à grande échelle et que des garde-fous s’activent automatiquement en cas de mésusage. [8]
Elle a aussi répondu aux affirmations du pirate concernant deux professionnels de santé. Selon elle, l’un aurait bien subi une usurpation d’identité en mars, mais son accès aurait été bloqué très rapidement et définitivement. Le second professionnel cité ne se serait jamais connecté au DMP. [8]
C’est ici que l’affaire change de nature. Si ces éléments sont confirmés, nous ne sommes pas face à un système totalement ouvert, mais face à un système sous pression, doté de mécanismes de surveillance, de blocage et de contrôle.
Ce n’est pas assez rassurant pour dormir tranquille, mais ce n’est pas non plus l’effondrement raconté par la revendication initiale. La réalité est moins spectaculaire, donc plus utile : l’État semble avoir activé ses défenses, lancé ses vérifications techniques, identifié des incohérences, bloqué des accès suspects et choisi la voie judiciaire.
Ce n’est pas la fin de l’histoire. C’est le début de la partie sérieuse.
Le vrai problème : l’écosystème santé reste une usine à risques
Même si la fuite massive n’est pas confirmée, l’affaire ne doit pas être enterrée comme une simple intox. Le numérique en santé français n’est pas un coffre unique avec un gardien devant, c’est une machinerie faite de portails publics, de logiciels médicaux, de prestataires, d’hébergeurs, de connecteurs, de sous-traitants, de comptes professionnels, d’interfaces et de flux automatisés.
Stop. ✋ – Voici un article Premium que vous risquez fortement d'apprécier :
Jonathan Paiano
On reprend. 👇
Chaque brique peut être solide, mais l’ensemble peut rester fragile. Début 2026, l’Assurance maladie indiquait plus de 68 millions de profils créés et plus de 23 millions activés. [3]
La cible est énorme, trop grande pour être traitée comme un simple service administratif. Et le CERT Santé (centre officiel d’urgence et d’expertise en cybersécurité dédié au secteur de la santé et du médico-social) avait déjà documenté des incidents impliquant des comptes compromis, des failles d’interface et des données recomposées. [5]
Quand on centralise autant de données sensibles, la sécurité ne peut plus être un argument de brochure : elle doit être vérifiable, auditée, lisible et contestable. Sinon, on demande aux citoyens de faire confiance à une machine dont ils ne voient ni les boulons, ni les failles.
Les données de santé ne se réinitialisent pas
Une fuite de mot de passe, c’est grave. Mais un mot de passe se change. Une donnée médicale, non.
Un cancer, une grossesse, un traitement psychiatrique, une addiction, un antécédent familial, une note clinique maladroite : tout cela colle durablement à une personne. Ces informations peuvent alimenter l’hameçonnage ciblé, l’usurpation d’identité, le chantage, la discrimination ou l’exploitation commerciale [6, 7].
La santé est une donnée profondément humaine. Elle ne dit pas seulement ce qu’une personne a fait, elle dit ce qu’elle craint, ce qu’elle cache et ce qu’elle subit. C’est pour cela que les fuites médicales ne sont pas des accidents informatiques ordinaires, ce sont des fractures de confiance.
Comment ne pas subir l’alerte
Pour les citoyens, la stratégie est simple : ne pas paniquer, mais relever le niveau de vigilance. Il faut surveiller les messages prétendant venir de l’Assurance maladie, d’une mutuelle, d’un hôpital ou d’un professionnel de santé.
Ne jamais transmettre de code, de pièce d’identité ou de coordonnées bancaires à la suite d’un courriel ou d’un appel non sollicité. Consulter directement les plateformes officielles, sans passer par les liens reçus.
Pour les professionnels de santé, l’urgence reste impérative : vérifier les accès, renforcer les mots de passe, protéger les postes de travail, signaler toute anomalie. Dans ce secteur, un identifiant volé peut devenir un engin de chantier lâché dans une infrastructure sensible.
Pour les institutions, la priorité est politique : publier des éléments de qualification clairs, expliquer les garde-fous, documenter les blocages, renforcer les audits, tester les interfaces, surveiller les consultations massives, contrôler les sous-traitants. La confiance ne se décrète pas, elle se prouve.
En somme, cette affaire n’est peut-être pas le grand pillage du DMP annoncé par le pirate. Mais ce n’est pas un non-événement : c’est un test de maturité.
L’Assurance maladie affirme exclure toute extraction massive, n’avoir détecté aucune attaque correspondant au scénario revendiqué, avoir bloqué un accès usurpé, disposer de garde-fous automatiques et saisir la justice. [8]
Ces éléments déplacent le centre du problème : on quitte le pur récit de catastrophe pour entrer dans celui, plus exigeant, de la qualification, du contrôle et de la réponse institutionnelle. Et c’est précisément là que le sujet devient sérieux.
La France veut numériser la santé, et elle a raison de le faire. Un système bien conçu peut éviter des erreurs médicales, fluidifier les soins, réduire les pertes d’information et redonner du pouvoir au patient.
Mais numériser la santé sans transparence radicale sur la sécurité, c’est demander aux citoyens de confier leur intimité à une infrastructure qu’ils ne peuvent pas inspecter.
Le futur médical sera numérique. La vraie question est donc simple : sera-t-il gouverné comme une infrastructure vitale, ou défendu après chaque alerte comme un service en ligne de plus ? Parce qu’un dossier de santé n’est pas un compte client : c’est une part du corps social traduite en données.
Ici, il n’y a aucune pub. Donc aucun maître.
Pas d’annonceurs. Pas de dépendance à Google. Pas de course aux réseaux sociaux. Posthumain existe grâce aux abonnements — et à ceux qui veulent une information libre.
Chaque abonnement donne de l’oxygène à un média sans publicité, sans annonceurs et sans maître. Si vous voulez que cette voix continue d’exister, rejoignez les lecteurs qui la rendent possible.
Ici, il n’y a aucune pub. Donc aucun maître.
Pas d’annonceurs. Pas de dépendance à Google. Pas de course aux réseaux sociaux. Posthumain existe grâce aux abonnements — et à ceux qui veulent une information libre.
Chaque abonnement donne de l’oxygène à un média sans publicité, sans annonceurs et sans maître. Si vous voulez que cette voix continue d’exister, rejoignez les lecteurs qui la rendent possible.
Sources principales :
- [1] Mon espace santé et le Dossier médical partagé : questions-réponses. | CNIL (cnil.fr)
- [2] DMP en pratique. | Assurance maladie (ameli.fr)
- [3] Quatre ans de Mon espace santé. | Assurance maladie (assurance-maladie.ameli.fr)
- [4] Pro Santé Connect. | Agence du Numérique en Santé (esante.gouv.fr)
- [5] Fuites de données dans le secteur de la santé : comprendre pour mieux réagir. | CERT Santé (cyberveille.esante.gouv.fr)
- [6] Fuite massive de données de santé : comment savoir si elle vous concerne et que pouvez-vous faire ? | CNIL (cnil.fr)
- [7] Health Threat Landscape : Health sector. | ENISA (enisa.europa.eu)
- [8] Un hacker revendique le piratage du Dossier médical partagé : l’Assurance maladie exclut toute extraction massive de données et va saisir la justice. | RTL (rtl.fr)
