Skip to content
hacker_posts

Krys : 200 000 clients exposés, ChimeraZ revendique 66 Go de données optiques

ChimeraZ met en vente une fuite touchant le groupe Krys, Lynx Optique et Le Collectif des Lunetiers : 195 000 numéros de sécurité sociale et 66 Go de pièces médicales.

Publié le 4 min de lecture
fuitekryschimerazsantefrance

Une fuite revendiquée contre l'écosystème Krys est proposée à la vente sur un forum cybercriminel depuis le 4 juin 2026. Le cybercriminel ChimeraZ affirme exfiltrer 66 Go de documents — environ 153 675 fichiers — couvrant les enseignes Krys, Krys Audition, Lynx Optique et Le Collectif des Lunetiers. L'analyse des échantillons par Cyberattaque.org et FrenchBreaches recense 203 446 personnes uniques et 195 522 numéros de sécurité sociale distincts. Aucune communication publique du groupe Krys à la rédaction de ce billet.

Périmètre revendiqué

Les marques citées par l'attaquant et confirmées sur les échantillons :

  • Krys
  • Krys Audition
  • Lynx Optique
  • Le Collectif des Lunetiers

Le quatuor relève du même groupement coopératif d'opticiens, ce qui explique la mutualisation du système d'information côté remboursement. Les fichiers de l'échantillon couvrent une plage allant d'octobre 2023 à mai 2026, avec des dates de commande s'étalant du 6 février 2025 au 16 mai 2026 sur les enregistrements les plus récents.

Nature des données

D'après les inventaires publiés par Cyberattaque.org, l'archive contient :

  • Identité et état civil : noms, prénoms, dates de naissance.
  • Numéros de sécurité sociale : 195 522 NIR distincts selon le décompte.
  • Cartes de mutuelle : environ 119 588 documents pour 43 Go, scannés en clair.
  • Ordonnances médicales : environ 34 087 documents pour 23,6 Go.
  • Métadonnées de commande : numéros de commande, numéros de facture, identifiants de remboursement, dates d'achat, montants TTC, magasin émetteur.

La présence de NIR et de pièces médicales en clair fait basculer l'incident dans le périmètre des données de santé à caractère personnel au sens du RGPD, ce qui déclenche les obligations renforcées de notification CNIL et d'information individuelle des personnes concernées.

Statut de l'exploitation

ChimeraZ propose la base à la vente, pas en leak gratuit. Cyberattaque.org cite une mise aux enchères classique sur forum, sans prix de réserve public confirmé. Aucun groupe rançongiciel n'a été associé à l'opération — ChimeraZ reste, sur les revendications précédentes, un acteur de la revente de bases plutôt que du chiffrement.

Au moment d'écrire ces lignes, Krys n'a publié ni communiqué de presse, ni notification client publique, ni mention CNIL. La vérification croisée des échantillons par les deux observatoires francophones constitue la trace publique principale ; l'authenticité finale et le périmètre exact restent à confirmer par l'enseigne.

Que faire

  1. Clients Krys, Krys Audition, Lynx Optique ou Le Collectif des Lunetiers ayant commandé un équipement entre octobre 2023 et mai 2026 : considérer que NIR, mutuelle et ordonnance peuvent être en circulation. Demander à la mutuelle la mise sous surveillance des remboursements et signaler tout mouvement non sollicité.
  2. Surveiller les tentatives d'usurpation : la combinaison NIR + état civil + mutuelle est l'attelage type des fraudes au tiers payant et des ouvertures de comptes en ligne. Activer les alertes bancaires et l'historique de connexion ameli.fr.
  3. Magasins du réseau : remonter au siège toute demande client portant sur une commande ou un remboursement non reconnu — l'enseigne aura besoin de ces signalements pour caler son périmètre auprès de la CNIL.
  4. DSI du groupement : si le vecteur est un prestataire mutualisé (tiers payant, logiciel de point de vente, plateforme de devis), auditer l'ensemble des accès B2B émis depuis 2023 et révoquer les comptes dormants. La fenêtre d'exfiltration revendiquée s'étend sur plus de 19 mois.
  5. Notification CNIL : si le périmètre se confirme, l'incident dépasse les seuils de gravité courants (catégories particulières, plus de 100 000 personnes). Documenter la chronologie d'apprentissage de l'incident dès maintenant pour le décompte des 72 heures.

Contexte

C'est la quatrième revendication ChimeraZ sur des cibles françaises depuis le 14 mai 2026, après EFC Formation, le Collège de France et l'Union Professionnelle des Associations le 14 mai, puis Avantages Enseignants (~126 000 comptes) et Laforêt (2 millions de comptes) fin mai. La signature opératoire est constante : exfiltration silencieuse sur plusieurs mois, publication d'un teaser d'inventaire, mise en vente sur forum.

Le point commun des cibles n'est pas un secteur — formation, immobilier, mutualisme enseignant, optique — mais le type d'actif : des plateformes B2B2C françaises hébergeant des données personnelles sensibles avec des cycles d'audit applicatif manifestement lâches. Krys est l'incident le plus aigu de la série côté données de santé ; les NIR et ordonnances sortent du champ habituel des fuites de comptes-clients pour entrer dans celui de la fraude au tiers payant.

Le groupement coopératif Krys devra confirmer dans les jours qui viennent l'identification du vecteur — accès partenaire, sous-traitant de remboursement, ou pivot interne — pour permettre aux pairs (Optic 2000, Atol, Afflelou) d'auditer leurs propres surfaces analogues.

Articles liés