La startup Ultrahuman révèle une fuite de données de santé survenue le 27 mars 2026. Des hackers ont exploité les identifiants d’un employé pour accéder à une base de données interne.
Un laptop infecté comme point d’entrée
C’est par un vecteur classique mais efficace que des attaquants ont réussi à pénétrer les systèmes d’Ultrahuman. Un employé de la startup indienne utilisait un ordinateur portable compromis par un malware conçu pour dérober des identifiants de connexion. Ces données ont permis aux intrus d’accéder à un outil interne d’analyse, exposant ainsi des informations de bien-être appartenant à une partie des utilisateurs de la plateforme. L’incident s’est produit le 27 mars 2026, soit plus de deux mois avant que la société n’en informe publiquement ses utilisateurs.
L’entreprise indique avoir détecté l’intrusion rapidement et avoir immédiatement mis hors ligne le système concerné, tout en révoquant tous les accès. « Nos systèmes d’alerte de sécurité ont détecté l’incident en quelques heures et nous avons fermé la vulnérabilité rapidement », a déclaré Mohit Kumar, fondateur et CEO d’Ultrahuman, dans un communiqué transmis à TechCrunch. (Our security alerting systems detected the incident within hours, and we closed the vulnerability swiftly.)
Ce que les hackers ont pu consulter
D’après la page officielle publiée par Ultrahuman sur son site, les attaquants ont obtenu un accès en « lecture seule » au système compromis. Concrètement, les informations potentiellement exposées comprennent des données de compte, des coordonnées de contact et un historique de transactions. Les mots de passe, les données de carte bancaire et les informations de paiement n’ont en revanche pas été affectés, tout comme les systèmes de production et les appareils Ultrahuman Ring eux-mêmes.
« Le 27 mars 2026, nous avons subi un incident de sécurité, mais les faits les plus importants d’abord : aucun mot de passe, aucune coordonnée bancaire, aucune donnée de paiement n’a été impliquée, et nous n’avons trouvé aucune preuve d’utilisation malveillante », a déclaré Kumar dans un email envoyé aux utilisateurs concernés. (On 27 March 2026, we had a security incident, but the most important facts first: no passwords, card details, or payment data were involved, and we have found no evidence of misuse.)
Le CEO a décrit l’exposition à celle d’un reçu de commande égaré dans la rue : des informations d’identification et de contact visibles, mais rien de financièrement sensible. L’entreprise précise avoir renforcé ses politiques de contrôle interne et la sécurité des endpoints sur les appareils des employés à la suite de l’incident.
L’ampleur de l’incident et les zones d’ombre
Selon les chiffres communiqués par Ultrahuman, environ 0,1% de ses utilisateurs ont été touchés. La startup affichait environ 700 000 utilisateurs actifs par mois en mars 2026, ce qui porte le nombre de personnes concernées à au moins 700 individus. L’entreprise n’a pas contesté ce calcul, mais a refusé de divulguer un chiffre précis.
Les zones d’ombre restent importantes. Ultrahuman n’a pas indiqué si des données biométriques avaient réellement été exfiltrées ou seulement consultées, ni si les attaquants avaient pris contact avec la société. La startup n’a pas non plus clarifié exactement ce que recouvre la notion de « données de bien-être » dans ce contexte précis, ce qui complique l’évaluation du risque réel pour les utilisateurs touchés. La société a par ailleurs reconnu avoir différé la notification des utilisateurs le temps d’auditer la portée exacte de l’incident et d’identifier les données précisément concernées. Les régulateurs compétents ont été notifiés dans le cadre de ce processus.
L’email d’alerte envoyé aux utilisateurs les invite à rester vigilants face aux tentatives de phishing, une précaution d’usage après ce type d’incident, les données de contact exposées pouvant être utilisées pour des campagnes d’hameçonnage ciblées.
Une question structurelle pour l’ensemble du secteur
Cet incident dépasse le cas particulier d’Ultrahuman et illustre une vulnérabilité inhérente au marché des wearables de santé. Les fabricants de bagues et montres connectées, d’Oura à Samsung en passant par Fitbit, centralisent par définition des données biométriques très personnelles sur leurs serveurs : données de sommeil, fréquence cardiaque, variabilité cardiaque, température cutanée, suivi de cycle menstruel. Cette centralisation implique qu’un accès non autorisé, qu’il provienne d’un employé, d’un gouvernement ou d’un groupe malveillant, reste toujours techniquement envisageable.
Fondée en 2019 à Bengaluru, Ultrahuman s’est progressivement imposé dans ce marché compétitif grâce à son Ring Air, concurrent direct de l’Oura Ring, puis plus récemment avec le Ring Pro, doté de capteurs améliorés et d’une meilleure autonomie. La startup a levé environ 103 millions de dollars à ce jour, avec le soutien d’investisseurs comme Nexus Venture Partners, Steadview Capital et Blume Ventures. L’entreprise se revendique d’une approche axée sur la protection de la vie privée, une posture mise à l’épreuve par cet incident. À noter que les deux acteurs Ultrahuman et Oura avaient déjà été opposés en 2024 dans une affaire de violation de brevet devant la Commission américaine du commerce international, un contentieux qui avait mis en lumière certaines pratiques commerciales discutables de la startup indienne.
La confiance des utilisateurs dans les plateformes de santé connectée repose sur la capacité de ces entreprises à protéger des données parmi les plus intimes qui soient. Cet incident rappelle qu’un outil interne d’analyse, souvent considéré comme périphérique dans l’architecture de sécurité d’une entreprise, peut constituer un point d’entrée suffisant pour exposer des informations personnelles à grande échelle. Les utilisateurs d’Ultrahuman concernés ont tout intérêt à surveiller d’éventuelles tentatives de contact frauduleux dans les semaines à venir, et à consulter la page d’information officielle publiée par la société pour obtenir les précisions sur les données les concernant.