Le cybercriminel derrière le vol de données d’Almerys revendique le piratage du Dossier Médical Partagé

Le cybercriminel responsable de la fuite de données d’Almerys a revendiqué, le 2 juin 2026, avoir dérobé les informations personnelles de 34 millions d’utilisateurs du Dossier Médical Partagé (DMP). Fin mai 2026, Almerys, spécialiste du tiers payant et prestataire de 670 organismes de protection sociale, a confirmé avoir été piraté. Selon le cybercriminel, cette fuite comporterait 44 millions de lignes de données, plus de 15 millions de numéros de sécurité sociale, ainsi que des renseignements administratifs portant sur les contrats, les garanties et les bénéficiaires.

Sa nouvelle revendication concerne le DMP, le carnet de santé numérique de l’État français, utilisé notamment dans le cadre de « Mon espace santé ». Le cybercriminel affirme détenir les données d’identité et de contact associées aux 34 millions de comptes, ainsi que des éléments plus sensibles : 80 % des enregistrements contiendraient un numéro de sécurité sociale et 30 à 40 % un IBAN.

Il affirme avoir exploité une faille de type IDOR (Insecure Direct Object Reference) pour compromettre des identifiants e-CPS, servant à l’authentification des professionnels de santé. Après avoir obtenu cet accès initial, le pirate aurait procédé à une élévation de privilèges. À ce stade, ces affirmations n’ont toutefois pas été confirmées de manière indépendante.