Skip to content
hacker_posts

SSTRN : fuite revendiquée de 355 000 dossiers de médecine du travail

Une base attribuée au SSTRN — service de santé au travail de la région nantaise — circule sur forum. Vecteur revendiqué : IDOR. Période couverte : 2020-2026.

Publié le 5 min de lecture
fuitesstrnchimerazsantefrance

Une fuite revendiquée contre le Service de Prévention et de Santé au Travail de la Région Nantaise (SSTRN) a été publiée sur un forum cybercriminel le 12 juin 2026. La revendication est portée par le pseudonyme misere ; ChimeraZ est cité comme canal de diffusion. Les observatoires francophones Cyberattaque.org et Fuites Infos confirment dans leur analyse des échantillons 355 112 historiques de rendez-vous individuels ; le pirate avance pour sa part 435 855 personnes concernées sur le périmètre total. La période couverte s'étend de 2020 à 2026. Aucune communication publique du SSTRN à la rédaction de ce billet. Aucune mention de l'incident dans les Alertes CERT-FR à ce stade.

Vecteur revendiqué

L'attaquant attribue l'accès à une vulnérabilité de type IDOR (Insecure Direct Object Reference) sur sstrn.fr : absence de contrôle d'accès et absence de limitation de débit sur des identifiants séquentiels. Le motif est classique des plateformes métier où les ressources personnelles sont indexées par entier auto-incrémenté et où la couche d'autorisation se limite à « utilisateur authentifié » sans vérification du lien identité-ressource. Aucun bug binaire, aucune chaîne d'exploit — un script qui boucle sur l'URL de prise de rendez-vous suffit.

L'absence de rate-limit explique le volume : extraire 355 000+ enregistrements par énumération séquentielle est une question d'heures, pas de jours, sur une telle surface. Aucune des deux sources de référence n'indique de traces d'authentification compromise — pas de vol de session, pas de phishing salarié documenté à ce stade.

Périmètre des données

D'après les inventaires publiés par Cyberattaque.org et Fuites Infos, l'échantillon mêle :

  • Identité civile : noms, prénoms.
  • Coordonnées : téléphones, adresses email.
  • Historique de rendez-vous : type de consultation, statut (effectué, annulé, reporté), motif d'absence.
  • Métadonnées d'organisation : centre médical de rattachement, entreprise employeuse.

Le contenu ne contient pas — à la lecture des échantillons publics — de compte-rendu médical, de résultat d'examen, ou de prescription. La fuite reste néanmoins dans le périmètre des données de santé indirectes au sens de la doctrine CNIL : le seul fait qu'une personne soit suivie en médecine du travail dans tel ou tel centre, avec tel motif d'absence (« visite reprise après arrêt maladie longue durée », « visite à la demande »), constitue une donnée sensible dès lors qu'elle est croisable avec l'identité.

Statut de l'exploitation

La base est mise en vente sur forum, pas en leak gratuit — schéma habituel de misere et ChimeraZ sur les revendications précédentes. Aucun groupe rançongiciel n'a été associé à l'opération. Aucune campagne d'usurpation ciblée n'a été documentée à ce stade ; le risque immédiat est l'exploitation secondaire par achat de la base pour phishing ciblé sur les coordonnées exposées.

Côté SSTRN, l'organisation couvre selon ses propres chiffres publics plus de 25 000 entreprises adhérentes et plus de 300 000 salariés suivis en Loire-Atlantique. L'écart entre les 300 000 salariés suivis et les 355 000 historiques revendiqués est compatible avec l'agrégation pluri-annuelle (turnover sur six ans).

Que faire

  1. Salariés suivis par le SSTRN entre 2020 et 2026 : considérer que vos coordonnées (téléphone, email professionnel ou personnel transmis) et votre historique de rendez-vous sont en circulation. Filtrer les sollicitations SMS et email se présentant comme « mutuelle », « DRH », « médecine du travail » dans les semaines qui viennent — la combinaison nom + employeur + centre est l'attelage parfait pour un phishing de tiers payant ou un vishing RH.
  2. DRH d'entreprises adhérentes : préparer un message interne court rappelant que le SSTRN ne demande jamais d'informations bancaires ni de mot de passe par téléphone ou email. Documenter en interne tout signalement de tentative d'usurpation pour remontée au SSTRN.
  3. DSI du SSTRN et prestataires applicatifs : auditer tous les endpoints exposant un identifiant séquentiel (/rdv/<id>, /dossier/<id>, /centre/<id>) et vérifier que la couche d'autorisation lie l'identifiant ressource à l'identifiant utilisateur authentifié, pas seulement à la session. Activer un rate-limit applicatif (10–20 requêtes/minute par session) sur les routes de consultation de dossier. Logger les énumérations.
  4. Notification CNIL : la combinaison données de santé indirectes + plus de 100 000 personnes déclenche la procédure renforcée (art. 33 et 34 RGPD). Documenter dès maintenant la chronologie de l'apprentissage de l'incident pour le compte des 72 heures, et préparer l'information individuelle des personnes concernées au titre de l'article 34.
  5. Pairs du secteur (services de prévention et santé au travail des autres régions) : auditer la même classe de vulnérabilité dans vos propres portails — la pile applicative et le schéma URL des SSTI sont mutualisés chez plusieurs éditeurs régionaux.

Contexte

C'est la énième revendication ChimeraZ contre une cible française depuis le 14 mai 2026. La série couverte sur ce site comprend Krys, Capifrance, Homepad, Propriétés Privées et Leboncoin Immobilier. Le SSTRN marque un basculement sectoriel : après l'immobilier, l'optique et la formation, c'est la santé au travail qui rejoint la liste. Le profil opératoire reste identique — plateforme B2B2C française, exfiltration silencieuse, mise en vente sur forum — mais le vecteur revendiqué (IDOR par énumération) sort de la signature applicative jusqu'ici dominante (compromission de compte ou prestataire).

L'élément à retenir pour les architectes applicatifs francophones : un endpoint REST qui sert des données nominatives indexées par ID séquentiel sans vérification fine d'autorisation est aujourd'hui un vecteur de masse. La règle OWASP Top 10 A01:2021 Broken Access Control arrive en tête du classement depuis quatre cycles ; la série française de juin 2026 confirme qu'elle est aussi en tête des fuites grand public, avec un coût RGPD que les conseils d'administration commencent à voir passer en provision exceptionnelle.

Articles liés