Au total, ce sont 34 228 598 fiches personnelles qui auraient été dérobées et mises en vente sur le forum spécialisé PwnForums le 1er juin 2026. Cela représente potentiellement les données privées de près d’un Français sur deux. Ce serait l’une des plus importantes cyberattaques jamais enregistrées en France.
Une faille technique et des accès professionnels évoqués
Pour s’introduire dans le système, le pirate affirme avoir procédé en deux temps. Il aurait d’abord récupéré l’identité numérique d’un professionnel de santé via ses identifiants e-CPS (la carte d’authentification électronique des soignants).
Il aurait ensuite exploité une vulnérabilité de type IDOR (Insecure Direct Object Reference), couplée à une élévation de privilèges. Ce type de faille permet d’accéder à des ressources non autorisées en modifiant simplement un paramètre ou un identifiant dans une requête numérique, ce qui lui aurait permis de faire défiler et de collecter massivement les dossiers de millions d’assurés.
Pour appuyer ses déclarations, Lagui a publié des captures d’écran de l’interface professionnelle du DMP. Signe de son intrusion, le pirate a glissé ses pseudonymes (XLAGUI et XMETAH) directement dans les champs d’identité des patients de l’interface gérée par l’Assurance Maladie, avec une date d’accès affichée au 1er juin 2026.
Identité, sécurité sociale et IBAN : le contenu du butin
Selon les publications de Lagui, le fichier unique mis en ligne contient des informations d’identification complètes et immédiatement exploitables. Les échantillons diffusés montrent la présence des données suivantes :
- Noms et prénoms
- Sexe
- Dates et départements de naissance
- Adresses postales complètes, codes postaux et communes
- Adresses e-mail et numéros de téléphone
Plus grave, le numéro de sécurité sociale (NIR) serait présent sur environ 80 % à 85 % des fiches. Enfin, des coordonnées financières, incluant des IBAN et des codes BIC bancaires, toucheraient 30 % à 40 % des fiches. Un point étonnant puisque le DMP ne stocke pas de coordonnées bancaires.
L’Assurance Maladie temporise, les experts incitent à la prudence
Si elle est avérée, l’exposition combinée de ces données d’état civil, de cet identifiant unique qu’est le numéro de sécurité sociale et de coordonnées bancaires exposerait les victimes à des risques d’usurpation d’identité, de campagnes de phishing très personnalisées et de fraudes bancaires.
Contactée par nos soins, l’Assurance Maladie se veut prudente et attend des analyses définitives :
« Les équipes sont en train de mener des investigations mais certaines informations nous conduisent à penser que c’est faux, cependant il faut attendre le retour des spécialistes pour en avoir la certitude. »
De fait, un détail technique important interroge les spécialistes de la veille en cybersécurité. L’interface officielle du DMP ne stocke et n’affiche intrinsèquement aucune coordonnée bancaire. La présence d’IBAN dans le fichier mis en vente suggère donc une autre origine.
L’hypothèse d’une base composite est privilégiée : le pirate aurait pu associer des données d’identité extraites du DMP à des données bancaires issues d’un autre lot. Lagui revendiquait d’ailleurs la semaine précédente un vol de données chez Almerys, un opérateur de tiers payant qui gère précisément des coordonnées financières et dont la cyberattaque récente a exposé 15 millions de numéros de sécurité sociale.
L’affaire a été largement relayée par des comptes de veille sur les réseaux sociaux, notamment le site FrenchBreaches.com, administré par Sébastien F. (connu sur X sous le pseudo @Seblatombe).
Néanmoins, comme le rappelait une enquête du Monde en mars dernier, certains influenceurs cyber ont parfois tendance à relayer des revendications criminelles de manière alarmiste sans vérification préalable, qualifiant d’incidents critiques ce qui relève parfois du bluff ou du recyclage de vieilles bases de données.
Votre café et votre dose de tech vous attendent sur WhatsApp chaque matin avec Frandroid.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et .
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.