Une fuite chez un éditeur de logiciels médicaux expose 11 à 15 millions de Français [Revue de Presse]

Une fuite chez un éditeur de logiciels médicaux expose 11 à 15 millions de Français [Revue de Presse] Cegedim Santé a admis jeudi soir avoir été victime d’une intrusion réalisée au travers de son logiciel de santé MonLogicielMedical.

Cegedim Santé a admis jeudi soir avoir été victime d’une intrusion réalisée au travers de son logiciel de santé MonLogicielMedical.com. Révélée par le 20 heures de France 2, la fuite de données pourrait toucher entre 11 et 15 millions de Français. Elle ne concernerait cependant que le dossier administratif des patients, et non leurs dossiers médicaux.

« Dans les zones obscures du web, le secret médical est désormais un secret de polichinelle pour des millions de patients », attaque la voix-off. Dans sa séquence L’Œil du 20 heures, diffusée jeudi soir, France 2 a révélé avoir consulté une base de données émanant d’une intrusion réalisée chez un éditeur de logiciels médicaux. Le fichier en question aurait été disponible « en libre accès », et contiendrait des informations « exposant entre 11 et 15 millions de personnes, selon notre estimation ».

Un copieux fichier émaillé de données à caractère médical

France 2 ne précise pas comment le décompte du nombre de personnes exposées et l’éventuelle déduplication ont été opérés. Le reportage met en revanche en scène la vérification de certaines de ces données : on voit ainsi l’une des journalistes de l’équipe appeler au téléphone une femme dont les informations figurent dans le fichier. Sans surprise, celle-ci manifeste son étonnement à l’idée que son traitement médical circule sur Internet.

Le sujet affirme que « dans certains cas », la base de données consultée « fait état du dossier médical du patient », avec ce qui ressemble à des annotations laissées par le médecin. Certaines de ces informations revêtent un caractère très personnel avec allusion à la sexualité, à l’état de santé, à la religion ou à des événements familiaux.

« Des personnalités politiques de premier plan sont également présentes dans cette base, à l’image de potentiels candidats à l’élection présidentielle, de hauts fonctionnaires et de responsables de la sécurité nationale », indique encore France 2, qui affirme avoir échangé avec l’auteur du partage du fichier en question et affiche son pseudonyme.

La publication d’origine, qui proposait donc le fichier en accès libre, a été supprimée suite à la diffusion du sujet de France 2, mais un compte qui se revendique du groupe Dumpsec propose toujours, à la vente cette fois, la base de données en question. L’auteur de ce nouveau post affirme d’ailleurs qu’il dispose d’un volume de données nettement plus conséquent que l’extrait qui a été diffusé en accès libre un peu plus tôt.

Cegedim confirme une intrusion

La base de données en question provient, selon les auteurs, de Cegedim, un éditeur de progiciels spécialisé, notamment, dans les solutions à destination des professionnels de santé. Celui-ci a réagi jeudi soir à la diffusion du sujet de France 2. Dans un communiqué (PDF), il indique avoir identifié, fin 2025, « un comportement anormal de requêtes applicatives sur des comptes médecins utilisateurs du logiciel MLM (MonLogicielMedical.com) ». Ce dernier est utilisé par 3 800 médecins en France, et 1 500 d’entre eux seraient concernés par l’attaque.

« Tous les médecins concernés ont été contactés début janvier et accompagnés s’ils le souhaitaient, par des équipes dédiées, dans leurs démarches de notification à la CNIL et d’information de leurs patients conformément à leurs obligations de responsable de traitement au sens du RGPD », écrit Cegedim, qui affirme par ailleurs avoir pris toutes les mesures nécessaires pour sécuriser son logiciel, et respecté les obligations réglementaires qui lui incombent en pareille situation.

L’éditeur récuse cependant l’information selon laquelle des dossiers médicaux ont été accédés : « Les dossiers médicaux structurés des patients sont restés intègres. » D’après lui, les informations consultées ou extraites par les pirates « proviennent exclusivement du dossier administratif du patient : nom, prénom, sexe, date de naissance, téléphone, adresse, email et commentaire administratif en texte libre à la discrétion des médecins ». C’est donc de ce champ commentaire que proviendraient les détails parfois intimes évoqués par France 2 dans son sujet.

Fin 2024, Cegedim avait été épinglé par la Cnil pour traitement de données de santé sans autorisation au sein d’un autre de ses logiciels de gestion.