Attaque

Follow Health : plus de 2 millions de dossiers patients revendiqués après une cyberattaque

Une fuite de données attribuée à Follow Health, éditeur de la plateforme médicale follow.fr, a été revendiquée sur un forum cybercriminel le 7 juillet 2026. L’auteur affirme vendre une base contenant 2 052 123 enregistrements de patients.

Follow.fr est présenté comme un logiciel médical certifié Ségur, utilisé par des médecins spécialistes et chirurgiens pour la gestion des consultations, des dossiers patients, de l’agenda et des flux cliniques. À ce stade, cette fuite reste une revendication non confirmée officiellement.

Follow cyberattaque

Follow Health visé par une revendication massive

La publication est signée par un acteur utilisant le pseudonyme Saturne. Il affirme avoir extrait une base au format CSV datée de juillet 2026, contenant plus de 2 millions de lignes.

Selon la revendication, l’extraction aurait été interrompue après détection, ce qui ferait de cette base un dump partiel. Le volume annoncé reste toutefois considérable pour un logiciel médical manipulant des données de patients.

Un accès aux listes patients des médecins revendiqué

L’auteur affirme que la fuite aurait été réalisée en exploitant un accès aux listes de patients de médecins, permettant une exportation massive de dossiers. Si ce scénario est exact, il s’agirait d’un problème critique de contrôle d’accès, avec la possibilité de consulter des données qui auraient dû rester limitées à chaque praticien ou structure médicale.

La revendication ne permet pas de confirmer publiquement s’il s’agit d’un compte compromis, d’une faille applicative, d’un défaut de cloisonnement entre praticiens, d’un accès administrateur détourné ou d’une mauvaise configuration d’export. Mais le scénario décrit suggère une exposition à grande échelle d’un environnement de gestion médicale.

2 052 123 fiches patients potentiellement exposées

Les champs cités dans la revendication montrent une base très sensible. Les données potentiellement exposées comprennent notamment :

  • identifiant patient ;
  • nom et prénom de naissance ;
  • nom et prénom d’usage ;
  • sexe ;
  • date de naissance ;
  • adresse email ;
  • numéros de téléphone ;
  • numéro INSEE ou NIR ;
  • numéro d’assurance maladie ;
  • profession ;
  • étiquettes ou labels associés au patient ;
  • médecin créateur du dossier ;
  • lieu de prise en charge ;
  • médecin assigné ;
  • profession et email du praticien ;
  • médecin adresseur ;
  • coordonnées professionnelles du médecin adresseur.

La présence revendiquée du numéro INSEE, du numéro d’assurance maladie et des liens entre patients et médecins rend cette fuite particulièrement critique. Même si les champs listés ne détaillent pas explicitement des diagnostics ou traitements, ils relèvent d’un contexte médical et peuvent révéler une relation de soin.

Des données médicales administratives très sensibles

Une fiche patient issue d’un logiciel médical n’a pas la même sensibilité qu’un simple fichier client. Elle peut relier une identité complète à un praticien, une spécialité, un lieu de consultation, un médecin adresseur et des identifiants de santé.

Dans certains cas, le seul fait d’être suivi par un praticien spécialisé peut déjà révéler des informations sensibles sur l’état de santé, le parcours de soin ou la situation personnelle d’une personne. La présence de labels internes pourrait également donner des indications supplémentaires selon leur contenu réel.

Des risques majeurs pour les patients

Les risques principaux concernent l’usurpation d’identité, le phishing médical ciblé, les fraudes à l’Assurance Maladie, les arnaques à la mutuelle, les faux rendez-vous, les faux remboursements ou les demandes frauduleuses de mise à jour de dossier.

Un attaquant pourrait utiliser le nom d’un vrai médecin, la spécialité du praticien, un lieu de consultation ou un identifiant de santé pour créer un message extrêmement crédible. Les patients pourraient être incités à fournir des documents, confirmer leur carte Vitale, saisir leurs identifiants ou effectuer un paiement frauduleux.

Les médecins aussi exposés

Les praticiens mentionnés dans les dossiers peuvent également être ciblés. Les champs cités associent des médecins à des patients, des lieux de consultation, des emails professionnels et des rôles dans le parcours de soin.

Ces informations peuvent servir à des attaques d’ingénierie sociale contre les cabinets, secrétariats médicaux ou établissements de santé : faux support technique, fausse demande d’export, faux message patient, tentative de récupération d’accès ou campagne de phishing usurpant Follow Health.

Une fuite partielle, mais déjà massive

L’auteur affirme que l’export a été interrompu avant son terme à la suite d’une détection. Cela signifie que les 2 052 123 enregistrements revendiqués pourraient ne représenter qu’une partie des données accessibles au moment de l’incident.

Le nombre exact de patients uniques concernés reste à confirmer. Des doublons, dossiers archivés, fiches incomplètes ou patients suivis par plusieurs praticiens peuvent exister. Mais le volume annoncé place déjà cette revendication parmi les incidents les plus sensibles touchant des données de santé en France.

Une revendication à confirmer d’urgence

À ce stade, Follow Health n’a pas confirmé publiquement cette revendication. L’origine technique de l’extraction, le périmètre exact, le nombre de praticiens concernés et la nature complète des données doivent être établis par une analyse officielle.

Si les éléments publiés sont confirmés, l’incident serait particulièrement grave : il combinerait données d’identité, identifiants de santé, coordonnées, médecins associés et informations issues d’un environnement de dossier patient. Dans le secteur médical, ce type de fuite peut avoir des conséquences durables pour les personnes concernées.

Que doivent surveiller les patients ?

Les patients doivent se montrer vigilants face à tout email, SMS ou appel évoquant un rendez-vous médical, un remboursement, une mutuelle, une carte Vitale, un dossier patient, un document à signer ou une mise à jour de coordonnées.

Une demande inhabituelle doit être vérifiée directement auprès du cabinet ou du praticien via un canal officiel déjà connu. Dans le contexte d’une fuite médicale, le fait qu’un message mentionne un vrai médecin ou un vrai parcours de soin ne suffit pas à prouver son authenticité.

Thomas Lazzaroni Thomas Lazzaroni
Articles similaires