Une importante fuite de données attribuée à l’écosystème Krys est actuellement proposée à la vente sur un forum cybercriminel. La publication, diffusée par le cybercriminel ChimeraZ, évoque plus de 66 Go de documents sensibles représentant près de 153 675 fichiers contenant des informations médicales et administratives de clients.
Selon les analyses réalisées à partir des échantillons disponibles, l’incident pourrait concerner environ 203 446 personnes uniques, dont près de 195 522 numéros de sécurité sociale distincts.
Les données semblent liées à plusieurs enseignes du groupe, notamment Krys, Krys Audition, Lynx Optique et Le Collectif des Lunetiers.
Quelques heures avant cette mise en vente, le même cybercriminel avait déjà publié ce qu’il présente comme une base de données partielle issue de Krys.com. Cette première publication revendique 294 206 enregistrements au format JSON représentant environ 201 202 personnes pour un volume total d’environ 90 Mo.
Une première base de données de 294 000 enregistrements revendiquée
Dans une première publication diffusée sur le forum cybercriminel, ChimeraZ affirme divulguer une partie d’une base de données issue de Krys.com. Le fichier revendiqué contiendrait 294 206 lignes représentant environ 201 202 personnes distinctes.
- 286 000 enregistrements de commandes ;
- 8 100 devis optiques ;
- Informations clients et administratives ;
- Numéros de sécurité sociale ;
- Données de facturation ;
- Historique d’achats et de remboursements.
Les exemples publiés montrent des structures de données contenant notamment des numéros de commande, numéros de facture, identifiants de remboursement, dates d’achat, montants TTC, informations sur les magasins Krys ainsi que des données permettant d’identifier directement les clients concernés.
Parmi les informations visibles dans les échantillons figurent notamment les noms et prénoms des clients, leur date de naissance, leur numéro de sécurité sociale, le magasin ayant traité le dossier ainsi que les montants facturés pour les équipements optiques.
Le cybercriminel indiquait déjà dans cette première publication qu’il préparait une seconde annonce portant sur la vente de plusieurs dizaines de gigaoctets de documents associés aux mêmes clients.
Plus de 150 000 documents médicaux revendiqués
Dans une seconde publication diffusée quelques heures plus tard, ChimeraZ affirme mettre en vente 66,6 Go de documents PDF liés à des clients de Krys. Selon sa description, ces archives contiendraient notamment des ordonnances médicales, des cartes de mutuelle, des devis ainsi que divers documents administratifs utilisés dans le cadre du remboursement d’équipements optiques.
- 119 588 cartes de mutuelle représentant environ 43 Go de données ;
- 34 087 ordonnances médicales représentant environ 23,6 Go ;
- Devis optiques ;
- Documents de commande ;
- Pièces justificatives liées aux remboursements.
Le volume total revendiqué atteint près de 66,6 Go de données et plus de 153 000 documents. Selon l’auteur de la publication, les fichiers contiendraient notamment des ordonnances ophtalmologiques, des cartes de complémentaire santé, des justificatifs administratifs et différents documents utilisés lors de la prise en charge des équipements optiques.
Des informations de santé particulièrement sensibles
Les données revendiquées vont bien au-delà de simples coordonnées clients. Les analyses effectuées sur les échantillons montrent la présence de nombreuses informations personnelles, administratives et médicales.
- Nom et prénom ;
- Date de naissance ;
- Numéro de sécurité sociale (NIR/NSS) ;
- Numéros de devis ;
- Numéros de commande ;
- Numéros de facture ;
- Données de remboursement FSE ;
- Informations sur les opticiens et points de vente ;
- Montants des équipements ;
- Historique de commandes et devis ;
- Ordonnances ophtalmologiques ;
- Cartes de mutuelle.
Les exemples publiés par le cybercriminel montrent également la présence d’informations relatives aux remboursements et à la gestion administrative des dossiers clients. Plusieurs enregistrements associent directement des données d’identité à des éléments de prise en charge médicale ou de remboursement.
La présence simultanée de documents de santé, de numéros de sécurité sociale et de justificatifs de mutuelle place cette fuite parmi les plus sensibles observées ces derniers mois dans le secteur de la santé.
Des données couvrant plusieurs années d’activité
Les informations analysées couvriraient une période allant d’octobre 2023 à mai 2026. Les commandes identifiées s’étendraient du 6 février 2025 au 16 mai 2026 tandis que certains devis remonteraient jusqu’à octobre 2023.
Cette profondeur historique laisse penser que les données pourraient provenir d’un système central utilisé pour la gestion des devis, commandes et remboursements au sein de plusieurs enseignes du groupe.
La cohérence observée entre les informations présentes dans la base JSON revendiquée et les documents PDF proposés à la vente laisse supposer que les deux publications pourraient provenir d’une même source de données ou d’un même environnement de gestion utilisé par plusieurs enseignes de l’écosystème Krys.
Le secteur de l’optique une nouvelle fois visé
Le secteur de l’optique français fait régulièrement l’objet d’attaques en raison de la forte valeur des données qu’il traite. Les dossiers clients associent généralement informations d’identité, données médicales, remboursements de mutuelle et informations administratives.
Ces éléments sont particulièrement recherchés par les cybercriminels car ils permettent de construire des profils très complets pouvant être utilisés dans des tentatives de fraude, d’usurpation d’identité ou de phishing ciblé.
Quels risques pour les personnes concernées ?
La combinaison d’un numéro de sécurité sociale, d’une ordonnance médicale et d’une carte de mutuelle constitue un ensemble de données extrêmement sensible. Ces informations peuvent être exploitées dans des fraudes administratives, des tentatives d’usurpation d’identité ou des campagnes de phishing particulièrement crédibles se faisant passer pour une mutuelle, l’Assurance Maladie ou un professionnel de santé.
La présence de documents originaux pourrait également faciliter certaines fraudes documentaires, demandes frauduleuses de remboursement ou créations de dossiers administratifs usurpant l’identité des personnes concernées.
À ce stade, aucune communication officielle de Krys concernant cette revendication n’a été identifiée. Comme pour toute publication issue d’un forum cybercriminel, les informations avancées par l’auteur doivent être considérées avec prudence dans l’attente d’une éventuelle confirmation ou infirmation officielle.