Skip to content
Fuite de donnéesEn cours

ARS : 35 millions de patients concernés par une fuite de données, 130 hôpitaux et AP-HP ciblés

Le 5 avril 2026, le groupe DumpSec a mis en vente une base qu'il présente comme concernant 35 millions de patients français liés aux Agences Régionales de Santé (ARS), plus de 130 hôpitaux et l'AP-HP, exposant identités, numéros de sécurité sociale et données de santé.

Victime
ARS
données
35.0M

Le 5 avril 2026, l'acteur malveillant DumpSec — un groupe cybercriminel déjà à l'origine de plusieurs fuites françaises (CROUS, Mondial Tissus) — a mis en vente sur un forum cybercriminel une base qu'il présente comme concernant 35 millions de patients français, prétendument issue de systèmes liés aux Agences Régionales de Santé (ARS), à plus de 130 hôpitaux et au réseau hospitalier parisien AP-HP.

Les chercheurs en sécurité (dont SaxX) qui ont documenté l'annonce soulignent que le jeu de données semble en grande partie réutiliser et consolider des données issues d'une compromission antérieure des ARS ayant touché les régions Hauts-de-France, Normandie et Pays de la Loire vers septembre 2025. Ce corpus — revendiqué à l'origine par un acteur surnommé « Marak », qui affirmait ne pas vouloir le commercialiser — aurait changé de mains et est désormais proposé comme marchandise. Le chiffre de 35 millions et l'ampleur des établissements concernés sont avancés par le vendeur et n'ont pas été vérifiés de manière indépendante.

Selon l'annonce, les enregistrements exposés comprennent des données personnelles et médicales très sensibles :

  • Identité complète (nom, prénom, sexe, date de naissance)
  • Identifiants de sécurité sociale / santé (NIR / INS)
  • Coordonnées (adresse postale complète, email, téléphone)
  • Informations familiales et administratives
  • Données d'admission hospitalière et de parcours de soins

Si elle est authentique, la combinaison de données d'identité, de sécurité sociale et de santé permet une identification extrêmement précise et un risque élevé d'hameçonnage ciblé, d'usurpation d'identité et d'exploitation des données médicales. Au moment de la divulgation, aucune sanction de la CNIL ni confirmation officielle propre à cette annonce n'avait été rapportée, et les données étaient toujours proposées à la vente, ce qui maintient l'incident en cours.

Sources

  1. cyberattaque.orghttps://www.cyberattaque.org/cyberattaque-hopitaux-et-aphp-ars/
  2. solutions-numeriques.comhttps://www.solutions-numeriques.com/cyberattaque-sur-les-agences-regionales-de-sante-35-000-000-de-dossiers-patients-reapparaissent/
  3. frenchbreaches.comhttps://frenchbreaches.com/blog/fuite-massive-en-france-35-millions-de-patients-exposes-donnees-ultra-sensibles-en-vente

Incidents liés