Un cybercriminel affirme détenir les données de 34 millions de Français issues du dossier médical partagé. L'Assurance Maladie assure n'avoir constaté aucune intrusion. Le pirate, lui, a remis une couche d'échantillons après le démenti. Sauf que dans les extraits, pas la moindre donnée de santé.
Un fichier vendu sous l'étiquette du DMP
Le 2 juin 2026, un cybercriminel a mis en ligne une base qu'il présente comme issue du dossier médical partagé, l'ancêtre de Mon Espace Santé. 34,2 millions de personnes seraient concernées. Dans les échantillons diffusés, on retrouve des noms, des prénoms, des dates de naissance, des adresses, des courriels et des numéros de téléphone. Environ 80% des enregistrements afficheraient un numéro de sécurité sociale, le fameux NIR, et 30 à 40% un IBAN. De quoi nourrir une belle panique. Sauf que le même pirate revendiquait déjà, quelques jours plus tôt, la fuite Almerys, ce spécialiste du tiers payant qui a confirmé une cyberattaque le 25 mai 2026.
L'Assurance Maladie dément, le pirate s'entête
De son côté, l'Assurance Maladie a publié un communiqué sans ambiguïté. Aucune connexion non autorisée détectée, aucune preuve technique que cette base provienne réellement du DMP. Le hacker n'a pas apprécié. Après le démenti, il a balancé une nouvelle salve d'échantillons pour appuyer ses dires. On assiste donc à un bras de fer assez classique entre une institution qui protège sa réputation et un vendeur qui cherche à faire grimper la cote de sa marchandise. Pour le moment, aucune des deux parties n'a apporté la démonstration définitive, et les spécialistes en cybersécurité épluchent toujours les extraits avant de trancher.
Le détail qui change tout : zéro donnée de santé
Et c'est là que ça coince pour le pirate. Dans tout ce qui a fuité, il n'y a pas l'ombre d'une donnée médicale. Pas un compte rendu d'analyse. Pas une ordonnance, pas une note de praticien. Curieux, pour un fichier censé sortir d'un service de santé. Plusieurs indices renforcent d'ailleurs le doute. Des NIR mal formés, dont certains commencent bizarrement par un 7 ou sont incomplets, une structure hétérogène qui sent l'assemblage à plein nez, des IBAN là où un vrai dossier médical n'en contient jamais. L'hypothèse la plus prudente tient en peu de mots. Un fichier hybride, recomposé à partir de fuites déjà connues comme Free, Bouygues Telecom ou Almerys, puis rhabillé aux couleurs du DMP pour gonfler son prix et son retentissement médiatique.
On en dit quoi ?
Honnêtement, l'affaire ressemble davantage à une opération de marketing criminel qu'à un vrai pillage de Mon Espace Santé. Coller l'étiquette "dossier médical" sur un agrégat de vieilles fuites, c'est le meilleur moyen de faire parler de soi et de vendre plus cher un fichier au rabais. Ça ne veut pas dire pour autant qu'il n'y a aucun risque. Si vos données traînent déjà chez Free, Bouygues ou Almerys, elles circulent quand même, et ça, c'est acté. Mais le scénario catastrophe des 34 millions de carnets de santé étalés en clair ne tient pas la route en l'état. Reste que l'Assurance Maladie va devoir étayer son démenti aussi sérieusement que le pirate tente de prouver son butin.
