Le «comportement anormal de requêtes applicatives» remonte pourtant à fin 2025. Il a concerné des «comptes médecins utilisateurs du logiciel MLM (monlogicielmedical.com)», utilisé par quelque 3800 médecins en France [lien]
« un comportement anormal de requêtes applicatives sur des comptes médecins utilisateurs du logiciel MLM (MonLogicielMedical.com) ». Ce dernier est utilisé par 3 800 médecins en France, et 1 500 d’entre eux seraient concernés par l’attaque
À mon avis, tant qu'il n'existera pas un barème qui fixera l'indemnisation pour le préjudice de retrouver ses données sur le dark web, les entreprises n'en auront jamais rien à faire de sécuriser leurs données. Du genre, Nom/Prénom 5€, adresse email 1€, password en clair 30€, numéro de téléphone 10€, RIB 50€, scan de pièce d'identité 100€, etc. D'un coup, ça les motivera à 1) bien réfléchir avant de stocker n'importe quoi pendant une période indéterminée, et 2) investir dans la sécurité.
Dans tous les cas, les attaques perdureront mais il faudrait distinguer, d'un côté, l'attaque sophistiquée, et de l'autre, "la base de donnée était accessible par tout le monde".
en désignant des cibles pour des agents de déstabilisation ?
Pauvres entreprises qui collectent des données personnelles absolument pas nécessaires, qui les stockent dans des fichiers Excel sur des clés USB, c'est quand même pas leur faite, on ne peut pas leur en tenir rigueur…
J'imagine qu'on peut déja imaginer que tous les systèmes sont déja susceptibles d'être attaqués, je ne suis pas certain que ça rajoute une menace supplémentaire. Par ailleurs, je ne vois pas pourquoi les acteurs français seraient plus touchés, puisque tous leurs concurrents (bon, seulement ceux qui ont une antenne en France, mais c'est le cas de tous les gros acteurs) seraient soumis aux mêmes règles.
Le pognon ne sort pas de l'économie, il va des responsables du carnage aux victimes. Le but, c'est justement de te faire réfléchir avant de collecter des données personnelles : en as-tu vraiment besoin, et as-tu pris les mesures de sécurité nécessaires pour garantir leur confidentialité? C'est une exigence de résultat, pas de moyens, je te confie mes données, tu les gardes confidentielles, si tu n'y arrives pas alors tu payes pour le préjudice.
Après, il est peut-être déja trop tard. Est-ce qu'il existe beaucoup de gens en France qui n'ont pas leur adresse, leur nom, leur âge, leur numéro de téléphone, probablement leur RIB et leur numéro de sécu, qui ne se balladent pas déja quelque part?
Est-ce qu'il existe beaucoup de gens en France qui n'ont pas leur adresse, leur nom, leur âge, leur numéro de téléphone, probablement leur RIB et leur numéro de sécu, qui ne se baladent pas déjà quelque part?
Probablement très peu (y compris tkr malgré sa rigueur sur le sujet).
Ça me gonfle que des GAFAM aspirent mes données pour du ciblage publicitaire (publicités que je bloque de toutes façons) ou bien pour alimenter leurs IA, en échange d'un service : à moins de décider si ça en vaut la peine ou le risque. Mais ça me gonfle encore plus que mes données fuitent aux mains de hackers pas bien intentionnés parce les entités qui les détiennent demandent des infos non nécessaires, les conservent plus que de raison et ne font aucun effort sérieux pour en assurer la sécurité.
Bonjour,
en lisant dans le détail, j'apprends que la fuite concerne les informations administratives, ce qui n'amoindrit pas le problème pour autant.
Mais qu'un champ de commentaire soit utilisé par des professionnels de santé pour y inscrire des informations médicales ou des appréciations personnelles −qui n'ont rien à faire là, ça dénote une dérive inacceptable.
Mais qu'un champ de commentaire soit utilisé par des professionnels de santé pour y inscrire des informations médicales ou des appréciations personnelles −qui n'ont rien à faire là, ça dénote une dérive inacceptable.
Certes mais quand tu as un logiciel avec un champ « notes » ou commentaires, tu vas le remplir sans forcement d te poser de question sur la destination des données (où est-ce stocké, est-ce que l'entreprise qui stocke a l'agrément pour de données médicales, etc.)
D'autant plus que pas mal de professionnels de santé n'ont aucune conscience des enjeux et des risques de fuite. Certains utilisent professionnellement des adresses de courriel de GAFAM pour échanger avec leurs patents…
Hormis certains commentaires odieux, et totalement hors-sujet, relevés par les journalistes, je préfère parler de manque flagrant de connaissances et de formation sur le sujet plutôt que de dérive inacceptable.
Je rêve ou bien le RGPD avait introduit une obligation de signalement des fuites auprès des concernés ? J'ai l'impression que ce n'est que rarement mis en œuvre…
C'est justement un des nombreux points obscurs de cette affaire. La société en question a eu connaissance du « piratage » en novembre ou décembre suivant les sources. Elle a alors « aidé les médecins concernés à avertir la CNIL (et leur patients ?) mais je n'ai pas vu si elle avait elle-même alerté la CNIL.
Au vu du reportage de France2, ils est clair que les patients n'ont pas tous été avertis.
Pour l'étendue et la gravité de la fuite, il convient de ne pas la minimiser. Je cite Le Parisien :
La base de données mise en vente comporte des millions de lignes informatiques. D’après l’échantillon que nous avons consulté, il s’agit de données administratives (nom, prénom, adresse, numéro de téléphone, date de naissance et régime de Sécurité sociale). Des informations personnelles faciles à compiler et à recroiser pour créer des profils, afin de mener des arnaques en ligne.
Certaines consultations remontent à 2014, voire au début des années 2000 pour d’autres patients. « Il n’y a pas de documents de santé qui ont été diffusés, ni ordonnances, ni résultats d’examens de biologie », assure le ministère de la Santé.
Ce dernier a toutefois indiqué que 164 000 dossiers de patients comportaient des notes saisies par les médecins. Celles-ci peuvent porter sur l’historique médical, l’orientation sexuelle ou encore des antécédents de violences sexuelles.
# En moins alarmiste (mais ça reste une grosse fuite)
Posté par dovik (site web personnel) . Évalué à 10 (+10/-0).
Cf. https://next.ink/226657/une-fuite-chez-un-editeur-de-logiciels-medicaux-expose-11-a-15-millions-de-francais/
Sauf que certains médecins ont utilisé le champ "commentaire" du dossier administratif pour stocker des informations très personnelles.
[^] # Re: En moins alarmiste (mais ça reste une grosse fuite)
Posté par j (site web personnel) . Évalué à 3 (+1/-0).
Le «comportement anormal de requêtes applicatives» remonte pourtant à fin 2025. Il a concerné des «comptes médecins utilisateurs du logiciel MLM (monlogicielmedical.com)», utilisé par quelque 3800 médecins en France [lien]
[^] # Re: En moins alarmiste (mais ça reste une grosse fuite)
Posté par dovik (site web personnel) . Évalué à 3 (+1/-0).
Cf. le communiqué de presse du prestataire à l'origine de la fuite.
1500 médecins… Comment on arrive à 11 à 15 millions de français ? Ça sent les gros chiffres pas vérifiés.
[^] # Re: En moins alarmiste (mais ça reste une grosse fuite)
Posté par bbo . Évalué à 4 (+2/-0). Dernière modification le 28 février 2026 à 11:54.
Un commentaire sur Next se demande si on ne parle pas de 11 à 15 millions de données sur les personnes.
C'est vrai que ça semble mieux coller dans les ordres de grandeur.
(Sans rien enlever à la gravité d'une fuite de données contenant des informations personnelles et sensibles !)
# Et en plus...
Posté par nico4nicolas . Évalué à 10 (+11/-0).
puis un peu plus tard
En plus de cette fuite de données, l'entreprise semble donc avoir un problème avec sa messagerie électronique. C'est quand même un peu embêtant pour "une entreprise innovante de technologies et de services".
[^] # Re: Et en plus...
Posté par arnaudus . Évalué à 10 (+21/-0).
À mon avis, tant qu'il n'existera pas un barème qui fixera l'indemnisation pour le préjudice de retrouver ses données sur le dark web, les entreprises n'en auront jamais rien à faire de sécuriser leurs données. Du genre, Nom/Prénom 5€, adresse email 1€, password en clair 30€, numéro de téléphone 10€, RIB 50€, scan de pièce d'identité 100€, etc. D'un coup, ça les motivera à 1) bien réfléchir avant de stocker n'importe quoi pendant une période indéterminée, et 2) investir dans la sécurité.
[^] # Re: Et en plus...
Posté par Pol' uX (site web personnel) . Évalué à 5 (+3/-0).
Une telle mesure ne serait elle pas une menace pour l'économie française, en désignant des cibles pour des agents de déstabilisation ?
Adhérer à l'April, ça vous tente ?
[^] # Re: Et en plus...
Posté par dovik (site web personnel) . Évalué à 5 (+3/-0).
Bien vu.
Dans tous les cas, les attaques perdureront mais il faudrait distinguer, d'un côté, l'attaque sophistiquée, et de l'autre, "la base de donnée était accessible par tout le monde".
[^] # Re: Et en plus...
Posté par Pol' uX (site web personnel) . Évalué à 2 (+0/-0).
Ça pourrait être le rôle de la justice d'évaluer la responsabilité et le préjudice.
Adhérer à l'April, ça vous tente ?
[^] # Re: Et en plus...
Posté par mahikeulbody . Évalué à 6 (+4/-0).
ou bien "la base de données stockait des données non nécessaires au service".
[^] # Re: Et en plus...
Posté par arnaudus . Évalué à 5 (+2/-0).
Pauvres entreprises qui collectent des données personnelles absolument pas nécessaires, qui les stockent dans des fichiers Excel sur des clés USB, c'est quand même pas leur faite, on ne peut pas leur en tenir rigueur…
J'imagine qu'on peut déja imaginer que tous les systèmes sont déja susceptibles d'être attaqués, je ne suis pas certain que ça rajoute une menace supplémentaire. Par ailleurs, je ne vois pas pourquoi les acteurs français seraient plus touchés, puisque tous leurs concurrents (bon, seulement ceux qui ont une antenne en France, mais c'est le cas de tous les gros acteurs) seraient soumis aux mêmes règles.
Le pognon ne sort pas de l'économie, il va des responsables du carnage aux victimes. Le but, c'est justement de te faire réfléchir avant de collecter des données personnelles : en as-tu vraiment besoin, et as-tu pris les mesures de sécurité nécessaires pour garantir leur confidentialité? C'est une exigence de résultat, pas de moyens, je te confie mes données, tu les gardes confidentielles, si tu n'y arrives pas alors tu payes pour le préjudice.
Après, il est peut-être déja trop tard. Est-ce qu'il existe beaucoup de gens en France qui n'ont pas leur adresse, leur nom, leur âge, leur numéro de téléphone, probablement leur RIB et leur numéro de sécu, qui ne se balladent pas déja quelque part?
[^] # Re: Et en plus...
Posté par mahikeulbody . Évalué à 3 (+1/-0).
Probablement très peu (y compris tkr malgré sa rigueur sur le sujet).
Ça me gonfle que des GAFAM aspirent mes données pour du ciblage publicitaire (publicités que je bloque de toutes façons) ou bien pour alimenter leurs IA, en échange d'un service : à moins de décider si ça en vaut la peine ou le risque. Mais ça me gonfle encore plus que mes données fuitent aux mains de hackers pas bien intentionnés parce les entités qui les détiennent demandent des infos non nécessaires, les conservent plus que de raison et ne font aucun effort sérieux pour en assurer la sécurité.
# des commentaires abusifs ?
Posté par coquecignux . Évalué à 4 (+3/-0).
Bonjour,
en lisant dans le détail, j'apprends que la fuite concerne les informations administratives, ce qui n'amoindrit pas le problème pour autant.
Mais qu'un champ de commentaire soit utilisé par des professionnels de santé pour y inscrire des informations médicales ou des appréciations personnelles −qui n'ont rien à faire là, ça dénote une dérive inacceptable.
[^] # Re: des commentaires abusifs ?
Posté par Voltairine . Évalué à 6 (+4/-0).
Certes mais quand tu as un logiciel avec un champ « notes » ou commentaires, tu vas le remplir sans forcement d te poser de question sur la destination des données (où est-ce stocké, est-ce que l'entreprise qui stocke a l'agrément pour de données médicales, etc.)
D'autant plus que pas mal de professionnels de santé n'ont aucune conscience des enjeux et des risques de fuite. Certains utilisent professionnellement des adresses de courriel de GAFAM pour échanger avec leurs patents…
Hormis certains commentaires odieux, et totalement hors-sujet, relevés par les journalistes, je préfère parler de manque flagrant de connaissances et de formation sur le sujet plutôt que de dérive inacceptable.
# Obligation de signalement
Posté par Pol' uX (site web personnel) . Évalué à 5 (+3/-0).
Je rêve ou bien le RGPD avait introduit une obligation de signalement des fuites auprès des concernés ? J'ai l'impression que ce n'est que rarement mis en œuvre…
Adhérer à l'April, ça vous tente ?
[^] # Re: Obligation de signalement
Posté par Voltairine . Évalué à 2 (+0/-0).
C'est justement un des nombreux points obscurs de cette affaire. La société en question a eu connaissance du « piratage » en novembre ou décembre suivant les sources. Elle a alors « aidé les médecins concernés à avertir la CNIL (et leur patients ?) mais je n'ai pas vu si elle avait elle-même alerté la CNIL.
Au vu du reportage de France2, ils est clair que les patients n'ont pas
tousété avertis.Pour l'étendue et la gravité de la fuite, il convient de ne pas la minimiser. Je cite Le Parisien :
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.