Skip to content
hacker_posts

DMP : 34 millions de dossiers revendiqués, l'Assurance Maladie dément

Le cybercriminel Lagui met en vente une base attribuée au Dossier Médical Partagé : 34 millions de Français. La Cnam ne constate aucune extraction massive.

Publié le 5 min de lecture
fuitesantedmpalmerysfrance

Le 1er juin 2026, un cybercriminel se présentant sous le pseudonyme Lagui a publié sur le forum PwnForums une annonce de vente d'une base de données qu'il attribue au Dossier Médical Partagé (DMP / Mon Espace Santé), géré par l'Assurance Maladie. Le volume revendiqué : 34,2 millions de comptes — soit près de la moitié de la population française. Le 2 juin 2026, la Cnam a répondu publiquement, indiquant que ses équipes de cybersécurité n'ont identifié aucune extraction massive sur le DMP ni sur les comptes ameli. La revendication est cataloguée comme hypothèse à confirmer, pas comme fuite confirmée.

Périmètre revendiqué

D'après les analyses publiées par Cyberattaque.org et FrenchBreaches, Lagui propose à la vente :

  • 34 millions d'identités : noms, prénoms, dates de naissance, adresses postales, e-mails, numéros de téléphone.
  • ≈ 80 % des fiches porteraient un numéro de sécurité sociale (NIR).
  • 30 à 40 % des fiches porteraient un IBAN.

Aucune donnée strictement médicale — diagnostic, ordonnance, compte rendu, historique de soins — n'apparaît dans les échantillons distribués. C'est précisément ce point que INCYBER NEWS et MacGeneration soulignent : pour une base « DMP », l'absence totale de contenu médical dans les teasers est anormale.

Position de l'Assurance Maladie

Dans son communiqué relayé par MacGeneration et plusieurs autres rédactions, la Cnam :

  • N'a pas constaté de connexions non autorisées sur les comptes ameli ni de pic d'usage anormal des API DMP.
  • N'a pas identifié de fenêtre d'exfiltration correspondant aux volumes annoncés.
  • Considère que les éléments présentés ne démontrent pas une compromission du DMP.
  • Annonce le dépôt d'une plainte auprès des autorités judiciaires compétentes, estimant que la revendication a mobilisé des ressources d'enquête significatives et porté atteinte à la réputation du service.

C'est l'attribution qui reste prudente. Aucune source publique indépendante n'a, au moment de cette publication, validé que la base provient effectivement de Mon Espace Santé.

Lien avec l'affaire Almerys

Lagui n'est pas un inconnu. La semaine précédente — fin mai 2026 — le même pseudonyme avait revendiqué le piratage d'Almerys, prestataire de tiers payant pour environ 670 organismes de protection sociale, avec 44 millions de lignes de données dont plus de 15 millions de NIR. Cette fuite-là, contrairement à la revendication DMP, a été confirmée par Almerys et a déclenché des notifications mutuelles, dont celles d'Alan déjà documentées sur ce site fin mai.

La continuité de personnage et la proximité temporelle entre les deux revendications expliquent une partie du débat : si Lagui dispose réellement de la base Almerys, il a en main une matière première qui ressemble à un fichier DMP — NIR, état civil, IBAN — sans en être un. L'hypothèse la plus économique, soulevée par plusieurs analystes francophones, est celle d'un recyclage ou enrichissement de la base Almerys présenté sous étiquette DMP pour gonfler la valeur perçue sur le forum.

Que faire

  1. Personnes potentiellement concernées par la fuite Almerys (clients de mutuelles passant par un tiers payant Almerys, soit la majorité des actifs en France) : considérer NIR et IBAN comme circulants. Activer la surveillance bancaire, signaler à la mutuelle toute opération de remboursement non reconnue.
  2. Comptes ameli et Mon Espace Santé : la Cnam ne demande pas de rotation de mot de passe, mais la double authentification ameli (envoi d'un code par SMS) est activable depuis le menu Mon compte et constitue une mitigation gratuite pour quiconque ne l'a pas encore activée.
  3. Fraude au tiers payant : la combinaison NIR + identité + IBAN est l'attelage type des fraudes par déclaration de soins fictifs. Si vous recevez un courrier de la Sécurité Sociale concernant un remboursement non sollicité, le signaler immédiatement via le 36 46 et conserver le courrier comme pièce.
  4. DSI des organismes de protection sociale : la Cnam ne constate pas d'intrusion, mais le scénario Almerys est confirmé. Auditer la chaîne des prestataires de tiers payant et de gestion des cartes mutuelle, et révoquer les accès API B2B dormants — la fenêtre d'exposition Almerys court sur plusieurs mois.
  5. DPO et RSSI : documenter dès maintenant l'apprentissage de l'incident, même si la revendication DMP ne se confirme pas. Une revendication crédible portée par un acteur déjà responsable d'une fuite avérée déclenche l'obligation d'analyse et de notification CNIL si une compromission est ensuite démontrée. Le compteur 72 heures part de la connaissance de l'incident.

Lecture entre les lignes

La revendication Lagui sur le DMP arrive dans un mois où la France est, sur la chronique des fuites, la cible la plus exposée d'Europe : Carvivo (15 millions d'automobilistes), Krys et son groupement (200 000 clients, 195 000 NIR), Laforêt (2 millions de comptes), Almerys (44 millions de lignes) et désormais l'annonce DMP. Le point commun n'est pas un secteur, c'est une typologie d'actif : des plateformes B2B2C ou des prestataires mutualisés hébergeant des données de très large périmètre, qu'une compromission unique transforme en base de revente.

L'asymétrie de communication est la suite logique. Lagui revendique au pluriel ; la Cnam dément ; le grand public ne dispose ni des échantillons complets, ni des journaux côté Assurance Maladie, ni d'une analyse technique indépendante. Dans cet état d'information, la prudence éditoriale impose deux choses : ne pas traiter une revendication comme une fuite tant qu'elle n'est pas confirmée, et ne pas non plus rejeter l'alerte au seul motif qu'un opérateur dément — Almerys, deux semaines plus tôt, est l'illustration vivante que les démentis initiaux ne valent rien sans une enquête forensique publiée.

Le test décisif sera la publication d'un échantillon comportant des données réellement médicales (diagnostic, prescription, identifiant praticien). Tant qu'il ne sort que du NIR et de l'IBAN, l'hypothèse Almerys recyclée reste l'explication la plus économique. La rédaction reviendra sur le sujet si Lagui — ou un tiers — publie une preuve technique qui modifie ce diagnostic.

Articles liés