Revendication de piratage du DMP : Ce qu'il faut retenir de l'affaire !
Début juin 2026, un cybercriminel a affirmé avoir piraté le Dossier Médical Partagé (DMP), menaçant potentiellement les données de plus de 34 millions de Français. Cependant, les conclusions de l'Assurance Maladie et les déclarations du pirate dessinent une réalité bien plus nuancée.
Voici la synthèse des faits, entre accusations et démentis officiel.
1. La version du cybercriminel : Une attaque par étapes
Selon ses déclarations (non vérifiées de manière indépendante), l'attaquant aurait procédé en plusieurs phases :
- Ingénierie sociale : Il affirme avoir compromis le compte d'une infirmière et modifié ses informations auprès de l’Ordre National des Infirmiers (ONI).
- Élévation de privilèges & Faille IDOR : Grâce à cette usurpation, il déclare avoir obtenu des accès supérieurs et exploité une faille de type IDOR pour accéder au DMP via une authentification e-CPS.
- Cible (les IBAN) : Il soutient avoir découvert un point d'accès (endpoint) lié à l'Assurance Maladie (Ameli) permettant d'extraire des données bancaires (IBAN). L'extraction aurait duré une semaine avant qu'il ne soit déconnecté de la session.
2. La réponse officielle : Aucun piratage massif constaté
À l'issue d'investigations approfondies, l'Assurance Maladie contredit fermement la version d'une fuite massive :
- Aucune extraction de données : Les équipes de cybersécurité n'ont identifié aucune fuite de données à grande échelle sur le DMP ou les comptes Ameli.
- Une seule usurpation d'identité : L'organisme confirme qu'un professionnel de santé a bien été victime d'une usurpation d'identité en mars dernier, mais l'accès a été rapidement détecté et définitivement bloqué. Le second professionnel mentionné par le pirate ne s'est, quant à lui, jamais connecté.
- Sécurité et Bug Bounty : L'Assurance Maladie rappelle que le DMP fait l'objet d'une surveillance constante, notamment via des programmes de bug bounty avec des hackers éthiques.
Conclusion et suites judiciaires
Faute de preuves tangibles d'une compromission de masse, l'Assurance Maladie estime que les allégations du cybercriminel sont infondées. Face au préjudice d’image et aux ressources mobilisées pour l'enquête, l'organisme a annoncé son intention de saisir les autorités judiciaires.
Statut actuel : Une tentative d'intrusion ciblée et contenue a bien eu lieu en mars, mais la "fuite massive de 34 millions de comptes" relève à ce jour de l'intoxication ou de la revendication infondée.
