Cinq membres présumés du groupe cybercriminel français MARAK ont été interpellés le 23 juin 2026 par l’Office anti-cybercriminalité. Âgés de 16 à 22 ans, ils sont soupçonnés d’attaques visant des établissements de santé, des entreprises du secteur médical et une messagerie utilisée par les douanes. L’enquête, ouverte après la compromission d’un établissement de santé dans la Loire, porte sur près de 4 millions de fiches patients exfiltrées.
L’enquête a été confiée à l’OFAC après la saisine, en juillet 2025, de la section J3 du Parquet de Paris, spécialisée dans la lutte contre la cybercriminalité. Elle fait suite à la compromission d’un établissement de santé situé dans la Loire. Les investigations ont permis de remonter jusqu’au groupe présumé, avec un préjudice évalué à près de 4 millions de fiches patients exfiltrées.
Une faille humaine dans l’authentification
Selon les éléments communiqués autour de l’enquête, les suspects auraient exploité une faille humaine dans le système d’authentification des cartes professionnelles dématérialisées. Ce point est important, car il déplace le sujet au-delà de la seule vulnérabilité technique. Dans ce type d’affaire, l’accès initial peut reposer sur une erreur, un contournement de procédure, une manipulation ou une faiblesse dans la chaîne de vérification.
Pour les acteurs de santé, le risque est d’autant plus sensible que les données exposées ne se limitent pas à des identifiants techniques. Les fiches patients peuvent contenir des informations d’identité, des données administratives, des éléments de suivi ou des détails médicaux susceptibles d’être réutilisés pour d’autres fraudes. L’impact dépasse donc le système compromis.
L’OFAC poursuit la pression sur les groupes français
Cette opération intervient deux semaines après le démantèlement du groupe Dumpsec, également revendiqué par l’OFAC. Dans ce précédent dossier, sept mis en cause avaient été interpellés le 9 juin 2026 après une enquête centralisée par les cyber-enquêteurs de Rennes, avec plus de 1 500 entités victimes identifiées, directement ou par rebond.
Le dossier MARAK confirme la montée en visibilité des enquêtes visant des groupes francophones spécialisés dans l’exfiltration de données. Les profils sont jeunes, mais les volumes de données concernés et la nature des cibles montrent que leur capacité de nuisance reste élevée. Pour les organisations exposées, le signal est clair : les accès, les procédures d’authentification et le cloisonnement des données doivent être traités comme des points d’enquête potentiels, pas seulement comme des sujets de conformité.






