Des données médicales très sensibles de 15 millions de patients sont sur le Dark Web
C'est la panique : les données médicales de 10 à 15 millions de patients sont en vente sur le Dark Web ! Parmi elles, des informations particulièrement sensibles et intimes, comme leur statut sérologique ou leur orientation sexuelle.
Décidément, les fuites de données personnelles s'enchaînent en France ! Après le piratage du fichier national des comptes bancaires (FICOBA), de la CAF ou encore de l'opérateur Réglo Mobile, qui a abouti au vol des données bancaires des clients, c'est au tour des informations médicales de se retrouver dans la nature ! En effet, une importante fuite de données a été révélée en cette fin février 2026, après la diffusion d'une enquête de France 2 qui révèle qu'une base de données contenant des informations médicales et personnelles de millions de Français circule en libre accès sur le Dark Web.
Il s'agit du résultat d'une cyberattaque ayant visé le logiciel MonLogicielMedical (MLM), un programme édité par la société française Cegedim Santé et utilisé par 3 800 médecins en France. Le groupe de cybercriminels Dumpsec, déjà impliqué dans plusieurs récentes attaques en France, revendique ce vol et affirme avoir mis la main sur plus de soixante-cinq millions de données médicales. La portée de l'incident est exceptionnelle, touchant entre 11 et 15 millions de personnes selon les estimations du ministère de la Santé. Parmi elles, les noms et coordonnées de 169 000 patients sont associés à des notes médicales écrites par les médecins.
Piratage Cegedim Santé : des secrets médicaux extrêmement intimes dérobés
Les données compromises concernent les dossiers administratifs des patients – l'entreprise insiste sur le fait que les dossiers médicaux structurés (examens, résultats d'analyses, prescriptions) sont restés intacts et n'ont pas été diffusés. Ils comportent des informations assez classiques : nom, prénom, date de naissance, numéro de téléphone, adresse postale, e-mail et mutuelle des patients. Le problème vient surtout des champs de texte libre présents dans les dossiers – utilisés par les médecins pour noter des observations, des commentaires ou des contextes cliniques –, qui contiennent parfois des annotations extrêmement sensibles.
Le hacker éthique Clément Domingo, alias SaxX sur les réseaux sociaux, a pu consulter un échantillon contenant plus de vingt-deux millions d'entrées. Il a ainsi découvert que les praticiens indiquaient le statut sérologique, l'orientation sexuelle, les antécédents de violences et autres traumatismes passés – y compris des cas d'agressions sexuelles et de viols... –, des éléments psychologiques – dépressions, addictions, etc. – et même des informations sur la famille entière des patients. Bref, cette fuite est une violente intrusion dans la vie privée de ces derniers.
On découvre que les parents de certains patients sont racistes, anti-musulman ou encore que le patient lui-même est raciste...
— SaxX \_()_/ (@_SaxX_) February 27, 2026
Les commentaires dans la fuite de données de la cyberattaque de Cegedim (MonLogicielMedical) sont glaçants... https://t.co/EoHjybss6l pic.twitter.com/pU6g9cxX9s
France 2 a pu joindre certaines personnes concernées par ces fuites, et elles ont bel et bien confirmé la véracité des informations. De plus, les données confidentielles de personnalités politiques de premier plan seraient également dans le lot.
Cegedim Santé a tenté, dans un communiqué, de rassurer tant bien que mal le public en indiquant que ces annotations sensibles ne concernent qu'un nombre très limité de personnes. Elle a également mis en place un accompagnement pour les médecins victimes de la cyberattaque dès le mois de janvier pour qu'ils puissent informer leurs patients. La Commission nationale de l'informatique et des libertés (CNIL) a également été notifiée, comme il est de coutume dans cette situation, et une plainte a été déposée auprès des autorités. Reste que Cegedim Santé est au courant de l'intrusion depuis octobre 2025, date à laquelle elle a déposé plainte, mais n'a communiqué à ce sujet que fin février 2026, suite au reportage de France 2. Pour le respect du RGPD, on repassera...
Il reste toutefois une petite interrogation dans toute cette histoire. Le cybercriminel a indiqué à nos confrères de France 2 avoir prévenu l'entreprise de la fuite en vue d'extorquer de l'argent, sans jamais obtenir de réponse, ce que cette dernière conteste formellement. Or, la chaîne affirme elle aussi être restée sans réponse malgré plusieurs tentatives de joindre Cegedim Santé. C'est ce qu'on appelle faire la technique de l'autruche. Notons que la société avait déjà été épinglée par la CNIL en 2024 pour avoir traité sans autorisation des données de santé non anonymes.
De son côté, le ministère de la Santé a indiqué que seule la responsabilité du "prestataire privé, responsable du traitement des données" était engagée, rappelant que cette fuite "ne résulte ni d'une défaillance des systèmes du ministère, ni d'une infrastructure relevant directement de l'Etat". Circulez, il n'y est pour rien ! Il a seulement enjoint Cegedim à "mettre en œuvre des mesures correctives" de toute urgence. Nous voilà rassurés !
Piratage Cegedim Santé : des conséquences qui peuvent être dramatiques
La nature des données dérobées et mises en vente sur le Dark Web est particulièrement inquiétante. "Les informations médicales, souvent très intimes, deviennent particulièrement sensibles une fois exposées", nous explique Benoit Grünemwald, expert en cybersécurité chez ESET. "Leur consultation montre qu'elles pourraient être exploitées pour exercer des pressions ciblées, que ce soit sur des personnalités publiques ou sur des particuliers. Dans certains contextes, tels que des conflits familiaux, des voisinages tendus ou des situations de violences intrafamiliales, ces données peuvent devenir des outils d'intimidation."
De plus, "si ces données se retrouvent aisément accessibles, elles pourraient nuire à des candidats lors de vérifications menées par les ressources humaines pour des entretiens d'embauche. Personne ne souhaite partager ses antécédents médicaux lors d'un processus de recrutement", déplore-t-il. Et c'est sans compter le risque d'industrialisation de l'escroquerie, ces données permettant, à l'aide de l'IA, de fabriquer des scénarios particulièrement crédibles : appels prétendument émis par un cabinet, demandes de règlements complémentaires, fausses relances de mutuelles ou d'hôpitaux… Il risque d'y avoir des usurpations d'identité et des campagnes de phishing personnalisées à grande échelle.
Et, malgré tout cela, la solution proposée aux victimes est un simple petit mail pour les prévenir de "faire attention". Non seulement le patient voit ses données les plus intimes pillées, mais en plus, rien ne semble être fait pour y remédier. Combien de temps avant que ce soit au tour de Doctolib ou de Mon Dossier Partagés – que les médecins sont poussés à alimenter – d'être ciblés ?
Et cette attitude est adoptée pour tous les piratages qui se succèdent récemment, que ce soit chez les opérateurs, les entreprises ou les services publics. L'État pousse dématérialiser le plus de données possibles, mais rien n'est fait pour assurer leur protection et leur confidentialité. Face à cette multiplication des fuites, la seule aptitude adoptée semble être la résignation. Et c'est peut-être cela le plus inquiétant…