Oui, vous avez bien lu. 34 millions.
C’est le volume estimé de données de santé exfiltrées par deux jeunes cybercriminels français, dont l’un, âgé de 16 ans, a récemment tout avoué via la messagerie chiffrée Session.
Et cette fois, les faits vont bien au-delà de ce que le gouvernement avait admis.
Ce qu’on vous a dit :
-
- « Aucun dossier médical compromis »
-
- « Aucun système national infiltré »
- « Pas d’impact sur la continuité des soins »
Ce qu’on a réellement appris :
-
- 8 régions touchées, dont 5 entièrement compromises (Île-de-France, AURA, Hauts-de-France, Pays de la Loire, Normandie)
-
- Accès direct aux données des plateformes régionales de santé (GCS, GDES)
- 34 à 35 millions de dossiers médicaux extraits en plusieurs mois, sans alerte sérieuse
Le mode opératoire dévoilé par “Marak”
Un des auteurs du piratage, alias Marak, s’est confié dans une session privée.
Voici ce qu’il faut retenir :
1. Usurpation d’identité de médecins
+30 praticiens compromis via des commandes physiques de cartes CPS, RPPS récupérées, ou doxing ciblé.
Objectif : créer des accès légitimes aux systèmes.
2. Accès aux GCS de 10 régions
« Y’a 12 régions, on a pris les 10. Le reste c’était la Corse et une île inintéressante. »
Une citation qui résume l’ampleur et le mépris de la surface d’attaque exploitée.
3. Scraping massif et silencieux
Pendant plusieurs mois (mai → septembre), 24h/24, les attaquants ont aspiré méthodiquement les bases de données médicales, sans déclencher d’alerte significative.
4. Tentatives de contact ignorées
Marak indique avoir contacté certaines structures… sans aucune réponse.
Une opportunité de mitigation ratée.
Une cyberattaque d’une ampleur inédite
Ce piratage est un signal rouge :
-
- Nos systèmes de santé sont profondément vulnérables.
-
- Les processus de validation (cartes pro, accès aux plateformes) sont trop facilement manipulables.
- L’ingénierie sociale reste l’arme principale, bien avant les exploits techniques.
Ce n’est pas juste un incident.
C’est une brèche systémique, exploitée par deux jeunes… dont un de 16 ans.
Ce qu’on doit remettre en question, maintenant :
-
- La vérification manuelle des demandes d’accès professionnels
-
- Le temps de réaction des GCS/GDES
- La centralisation excessive des systèmes médicaux sans authentification forte ni surveillance comportementale
Ce n’est pas un cas isolé.
C’est le reflet d’un écosystème numérique de santé fragile, trop permissif, et incapable de détecter une attaque lente et silencieuse.
Et on n’a vu qu’une partie de l’iceberg.
De nouveaux articles sortiront sûrement bientôt sur d’autres zones d’ombre…
Mais ce qu’on sait déjà suffit à alerter tout le secteur médical français.
