Un cybercriminel affirme avoir constitué une base de données attribuée au Dossier Médical Partagé (DMP) de Mon Espace Santé contenant plus de 34,2 millions d’enregistrements de citoyens français. La base est actuellement proposée à la vente sur un forum cybercriminel fréquenté par des acteurs spécialisés dans le trafic de données personnelles.
Mais les premiers éléments analysés invitent désormais à une grande prudence. Si le volume revendiqué est important, plusieurs incohérences techniques et structurelles remettent sérieusement en cause l’attribution directe de ce fichier au DMP ou à Mon Espace Santé.
À ce stade, il ne s’agit donc pas d’une fuite confirmée du Dossier Médical Partagé, mais d’une base présentée comme telle par son vendeur. Les données observées semblent davantage correspondre à un assemblage de sources hétérogènes, potentiellement enrichi avec des informations issues d’anciennes fuites françaises.
Des données personnelles nombreuses, mais aucun contenu médical
Les échantillons publiés montrent la présence de nombreuses informations d’identification associées à des citoyens français. Contrairement à certaines bases de données limitées à une adresse e-mail ou à un numéro de téléphone, les informations revendiquées ici permettent parfois de reconstituer une identité complète.
- Nom et prénom
- Sexe
- Date de naissance
- Département de naissance
- Adresse postale complète
- Code postal et commune
- Adresse e-mail
- Numéro de téléphone
- IBAN
- BIC bancaire
- Numéro d’identification administrative présenté comme un NIR
Le point le plus notable reste pourtant l’absence totale de données médicales visibles dans les extraits consultés. Aucun compte rendu d’analyse, aucune ordonnance, aucune note de praticien, aucun document médical et aucune donnée clinique n’apparaît dans les exemples diffusés.
Pour une base censée provenir du Dossier Médical Partagé, cette absence est majeure. Le DMP est précisément conçu pour centraliser des documents et informations de santé. Or, les données observées relèvent principalement de l’identité, du contact, de l’administratif et, dans certains cas, du bancaire.
Des numéros de sécurité sociale incohérents
L’analyse d’un échantillon du fichier révèle également plusieurs anomalies autour des champs présentés comme des numéros de sécurité sociale ou des NIR.
Un NIR définitif français suit une structure stricte : 13 chiffres d’identification, complétés par une clé de contrôle à 2 chiffres. Le premier chiffre correspond au sexe, les deux suivants à l’année de naissance, les deux suivants au mois de naissance, puis viennent le lieu de naissance, le numéro d’ordre et la clé de contrôle.
Dans les données observées, plusieurs champs ne correspondent pas à cette structure. Certains identifiants commencent par 7, ce qui ne correspond pas à un NIR définitif standard. Trois exemples observés dans l’échantillon présentent ce schéma, avec des valeurs volontairement tronquées ici pour ne pas republier d’identifiants complets : 711…, 718… et 717….
Un autre identifiant est encore plus problématique : il ne comporte que 10 chiffres, alors qu’un NIR complet avec sa clé doit en comporter 15. Cette valeur semble donc tronquée, corrompue ou générée automatiquement sans respecter le format attendu.
D’autres incohérences apparaissent aussi dans l’échantillon analysé. Certains enregistrements affichent un champ sexe vide alors qu’un numéro censé encoder cette information est présent. Dans plusieurs cas, l’année indiquée par le numéro ne correspond pas à la date de naissance déclarée dans la même ligne.
Ces incohérences ne suffisent pas à prouver que toutes les données sont fausses, mais elles affaiblissent fortement l’hypothèse d’une extraction propre et directe depuis une base administrative officielle.
Une structure qui ressemble à un assemblage de plusieurs fuites
L’organisation du fichier interroge également. Dans les extraits analysés, les lignes contenant un identifiant de type NIR ne semblent pas toujours contenir les autres données personnelles complètes. À l’inverse, certaines lignes riches en informations personnelles ne contiennent pas de NIR.
Cette séparation est importante. Une base réellement extraite d’un système unique devrait présenter une structure plus cohérente, avec des champs organisés de manière stable d’une ligne à l’autre. Ici, l’ensemble ressemble davantage à un fichier hybride, où plusieurs sources auraient été rapprochées, fusionnées ou enrichies artificiellement.
Plusieurs rapprochements observés évoquent notamment un recyclage de données déjà compromises lors de précédentes fuites françaises, en particulier dans les secteurs des télécoms et du tiers payant. Des recoupements avec des données associées à Free, Bouygues Telecom ou Almerys pourraient expliquer la présence simultanée d’informations personnelles, d’adresses, de téléphones, d’e-mails ou d’identifiants administratifs partiels.
Le scénario le plus crédible à ce stade n’est donc pas celui d’une extraction brute du DMP, mais plutôt celui d’un agrégat de données recyclées, enrichies ou mal appariées, ensuite présenté sous une appellation plus spectaculaire.
La présence d’IBAN pose un autre problème majeur
Autre anomalie importante : une part significative des lignes analysées contient des coordonnées bancaires, notamment des IBAN et des BIC. Dans l’échantillon étudié, cette présence semble très élevée.
Or, cela ne correspond pas à ce que l’on attend d’un Dossier Médical Partagé. Le DMP est un espace de santé, pas une base bancaire. Les coordonnées bancaires sont plutôt associées à des démarches de remboursement, à des comptes administratifs ou à d’autres systèmes, mais elles n’ont pas vocation à figurer dans un dossier médical partagé.
La coexistence de données d’identité, de coordonnées bancaires et d’identifiants administratifs incohérents dans un fichier présenté comme médical renforce donc l’hypothèse d’un assemblage artificiel ou d’une base hybride construite à partir de plusieurs origines.
Le hacker affirme avoir utilisé un accès privilégié
Le cybercriminel à l’origine de la revendication a apporté des précisions sur l’origine supposée des données bancaires présentes dans le fichier.
Selon lui, les IBAN n’auraient pas été accessibles depuis une session médicale classique obtenue via l’authentification e-CPS. Il affirme avoir temporairement obtenu un compte disposant de privilèges plus élevés, lui permettant d’accéder à des fonctionnalités supplémentaires.
D’après ses déclarations, cet accès privilégié lui aurait permis d’identifier un point d’accès relié à un service exploité par l’Assurance Maladie, via l’écosystème Ameli. Il affirme avoir commencé à collecter les données associées avant de perdre cet accès. Selon sa version, c’est par l’intermédiaire de ce service connexe que les coordonnées bancaires présentes dans le fichier auraient été obtenues.
Le cybercriminel affirme également avoir pu confirmer l’existence de cet accès ainsi que la présence d’informations bancaires associées.
Une revendication très fragile autour du DMP
Le nom du Dossier Médical Partagé est probablement l’élément le plus vendeur de cette publication cybercriminelle. Pourtant, les éléments observés ne permettent pas d’établir un lien technique fiable avec Mon Espace Santé.
Au contraire, plusieurs signaux vont dans le sens inverse :
- Aucune donnée médicale visible dans les extraits
- Présence d’IBAN et de BIC, atypique pour un dossier médical
- Numéros administratifs incomplets, incohérents ou mal formés
- Champs vides ou contradictoires selon les lignes
- Structure de fichier hétérogène, compatible avec un assemblage de plusieurs sources
- Recoupements possibles avec d’anciennes fuites françaises déjà connues
À titre de comparaison, certaines fuites liées à des acteurs de l’écosystème santé contenaient des éléments beaucoup plus caractéristiques : notes de praticiens, informations de rendez-vous, documents médicaux ou champs métiers propres au suivi de patients. Rien de comparable n’apparaît ici dans les extraits analysés.
Un risque réel malgré une attribution douteuse
Le fait que l’origine DMP soit très incertaine ne signifie pas que le fichier soit sans danger. Une partie des données personnelles semble pouvoir correspondre à des informations réelles, possiblement issues de fuites antérieures.
Si des noms, prénoms, adresses, dates de naissance, e-mails ou numéros de téléphone sont exacts, ils peuvent être exploités dans des campagnes de phishing, d’usurpation d’identité ou de fraude ciblée. Les cybercriminels n’ont pas nécessairement besoin que toutes les données soient parfaitement authentiques pour construire des scénarios crédibles auprès des victimes.
Le danger vient donc moins d’une hypothétique fuite confirmée du DMP que de la circulation d’un fichier massif mélangeant potentiellement des informations réelles, des données recyclées et des champs administratifs inexacts.
Conclusion : une base probablement recyclée, pas une preuve de fuite du DMP
À ce stade, aucune preuve technique ne permet de confirmer que cette base provient réellement du Dossier Médical Partagé ou de Mon Espace Santé.
Les incohérences relevées sont nombreuses : absence de contenu médical, présence de coordonnées bancaires, identifiants administratifs invalides ou incomplets, champs contradictoires, structure hétérogène et indices de recyclage de données issues d’autres fuites.
L’hypothèse la plus prudente est celle d’un fichier hybride, constitué à partir de plusieurs sources déjà compromises, puis présenté sous l’étiquette DMP pour augmenter sa valeur et son impact médiatique.
Cette affaire doit donc être traitée avec sérieux, mais sans reprendre telle quelle la revendication du vendeur. Le fichier peut contenir des données personnelles réelles et exploitables, tout en n’étant pas une extraction authentique du Dossier Médical Partagé.
Cyberattaque.org poursuivra ses vérifications et mettra à jour cet article si de nouveaux éléments permettent de confirmer ou d’infirmer l’origine exacte des données revendiquées.