Un vol de données médicales en France vient de secouer le secteur de la santé. Plus de 530 000 dossiers de patients ont été dérobés à l’Hôpital privé de la Loire (HPL), situé à Saint-Étienne. Le pirate, connu sous le pseudonyme Marak, a exploité une faille de sécurité dans un logiciel interne mal protégé. Il menace désormais de diffuser les données sur le dark web si l’hôpital ne réagit pas.
Une faille exploitée pendant plusieurs jours
Ce vol de données médicales en France a été découvert début juillet, lorsque le pirate a publié une annonce sur le dark web. Il affirmait avoir eu accès à un outil de gestion interne mal sécurisé. Grâce à une combinaison de failles informatiques et d’identifiants volés à un médecin, il a pu extraire les données pendant plusieurs jours.
Parmi les informations volées figurent les noms, prénoms, adresses, dates de naissance, numéros de téléphone, cartes d’identité, passeports, titres de séjour, résumés de consultation, ainsi que des étiquettes d’identification patients. En revanche, selon les premières constatations, aucun compte-rendu médical ni donnée bancaire n’aurait été compromis.
Le chercheur en cybersécurité Clément Domingo, connu pour son travail sur les fuites de données, est le premier à avoir signalé la publication du pirate. Il estime qu’il s’agit de la plus grosse fuite de données médicales en France jamais enregistrée, devant celle de Dedalus en 2022 (500 000 dossiers) et du CHU d’Armentières en 2024 (300 000 dossiers).
L’Hôpital privé de la Loire confirme le vol de données médicales en France
Quelques jours après l’annonce, l’Hôpital privé de la Loire a confirmé l’incident. Un mail a été envoyé à toutes les personnes concernées. L’établissement a précisé qu’une personne malveillante avait réussi à accéder à un logiciel en se connectant depuis l’extérieur, grâce aux identifiants volés d’un médecin.
Le pirate exigeait une prise de contact sous 72 heures via Telegram. En l’absence de réponse, il menaçait de diffuser ou de vendre les données. Face à cette menace, l’hôpital affirme avoir immédiatement pris les mesures nécessaires pour stopper l’intrusion. Une plainte a été déposée, et la CNIL, l’Agence régionale de santé (ARS) et le CERT Santé ont été alertés.
Ce vol de données médicales en France rappelle les failles critiques dans la cybersécurité des établissements de santé. En avril 2022 déjà, une attaque contre Dedalus avait mis en lumière la vulnérabilité des systèmes d’information du secteur. Malgré les mises en garde, les incidents se multiplient.
Les victimes du vol de données médicales en France doivent redoubler de vigilance
Le vol de données médicales en France peut avoir des conséquences graves. Ces informations très sensibles peuvent être utilisées dans des campagnes de phishing, d’usurpation d’identité, ou même dans des tentatives d’escroqueries. Le fait que des pièces d’identité aient été piratées augmente les risques.
Les personnes concernées sont invitées à surveiller leurs comptes et à rester vigilantes face aux appels ou courriels suspects. L’utilisation frauduleuse de ces données pourrait se faire dans les mois à venir. Cette affaire souligne une fois de plus la nécessité de renforcer la cybersécurité des structures de santé.
Enfin, il convient de rappeler que la loi française impose à tout établissement victime d’une fuite de données de le signaler à la CNIL. Cette dernière pourrait mener une enquête et prononcer d’éventuelles sanctions en cas de négligence.
