il y a 2 day
4
Ce sont des données qui se monnaient mieux que les autres, car elles touchent à l’intime. Un vol massif d’informations personnelles a visé la société Cegedim, spécialisée dans les logiciels médicaux.
Une enquête judiciaire a été ouverte par le parquet de Paris et confiée à la Brigade de lutte contre la cybercriminalité, après une plainte déposée le 27 octobre. On fait le point.
Que s’est-il passé ?
Un premier pirate informatique, Ezx, a revendiqué sur le site Breach Forums le vol et la mise en vente de données personnelles siphonnées via le logiciel Mon Logiciel Médical (MLM), édité par la société Cegedim. Un groupe de hackers russophiles bien connu, DumpSec, a ensuite expliqué sur le Dark Web que cette base de données lui avait été volée et qu’ils étaient à l’origine de cette extraction massive.
D’après la méthode qui semble avoir été employée, le ou les attaquants ont obtenu un accès à un panel, une page d’ordinaire protégée, en utilisant les identifiants d’un médecin.
Il arrive que des bases de données déjà dans la nature soient exploitées, afin de mener d’autres attaques. La piste d’un mot de passe et d’un e-mail d’un ou plusieurs praticiens issus d’une autre fuite n’est donc pas à exclure. Les pirates ont ensuite procédé à un « scraping », une extraction automatisée avec un code informatique.
Combien de médecins et de patients sont concernés ?
L’éditeur du logiciel ciblé, Cegedim Santé, a admis avoir été victime d’une fuite depuis ses serveurs ayant visé 1 500 médecins fin 2025, avec pour conséquence une extraction de données personnelles de patients.
Jusqu’à 15 millions de personnes pourraient être concernées, selon France 2, qui a révélé cette affaire jeudi soir. Des données « très précises » sont « en libre accès » sur le Net, affirme la chaîne publique, selon laquelle des informations sur des dirigeants politiques de premier plan y figurent.
Selon nos informations, la plus grosse enchère pour acquérir ces données atteint ce vendredi soir les 215 000 euros.
Quelles données ont fuité ?
La base de données mise en vente comporte des millions de lignes informatiques. D’après l’échantillon que nous avons consulté, il s’agit de données administratives (nom, prénom, adresse, numéro de téléphone, date de naissance et régime de Sécurité sociale). Des informations personnelles faciles à compiler et à recroiser pour créer des profils, afin de mener des arnaques en ligne.
Certaines consultations remontent à 2014, voire au début des années 2000 pour d’autres patients. « Il n’y a pas de documents de santé qui ont été diffusés, ni ordonnances, ni résultats d’examens de biologie », assure le ministère de la Santé.
Ce dernier a toutefois indiqué que 164 000 dossiers de patients comportaient des notes saisies par les médecins. Celles-ci peuvent porter sur l’historique médical, l’orientation sexuelle ou encore des antécédents de violences sexuelles.
Comment savoir si je suis concerné ?
Il n’existe pas de moteurs de recherche légaux, pour des questions de protection des données personnelles. La loi stipule que les éditeurs de logiciels sont tenus de prévenir individuellement les victimes collatérales d’une fuite, en l’occurrence les médecins généralistes et par ricochet leurs patients.
« La fuite date de la fin d’année dernière et ils ne préviennent leurs clients que le lendemain de la diffusion d’un reportage, ils auraient pu être plus proactifs », peste le docteur Richard Handschuh, médecin généraliste à Paris, qui ne fait pas partie des 1 500 professionnels touchés.
La Cnil peut aussi sanctionner un manquement dans la communication, comme elle l’avait fait pour l’opérateur Free.
Mais où sont stockées nos données de santé ?
Depuis 2016, le code de la santé publique prévoit que toute entreprise de stockage soit « agréée ou certifiée à cet effet ». Une filiale du groupe, Cegedim.cloud, opère cinq data centers en France avec la certification obligatoire « Hébergeur de Données de Santé (HDS) ». Dans une logique de silos, les données médicales sont donc déconnectées de la partie administrative.
La société Cegedim avait été, par ailleurs, condamnée à une amende de 800 000 euros en 2024 pour avoir exploité sans déclaration préalable des données de santé non anonymisées, dans le cadre d’une étude avec des médecins.
