UnitedHealth : la plus grande fuite de données médicales aux USA
Le géant américain de l'assurance santé UnitedHealth vient de révéler l'ampleur ahurissante de la cyberattaque qui a frappé sa filiale Change Healthcare en février dernier. Plus de 100 millions de personnes ont vu leurs données médicales privées dérobées lors de ce qui s'avère être la plus grande fuite de données de santé de l'histoire des États-Unis, et l'une des violations de données les plus massives de mémoire.
Les dessous d'un piratage sans précédent
C'est la première fois qu'UnitedHealth, qui a racheté Change Healthcare en 2022, chiffre le nombre de victimes de cette cyberattaque dévastatrice. Le groupe avait précédemment indiqué qu'une "proportion substantielle" des Américains était concernée, mais l'ampleur réelle dépasse l'entendement.
Selon le PDG d'UnitedHealth Andrew Witty, les pirates ont pénétré le système informatique de Change en utilisant des identifiants volés, profitant de l'absence d'authentification multifactorielle sur un compte employé critique. Une faille de sécurité basique qui a ouvert un boulevard aux hackeurs.
Les ravages du ransomware BlackCat
Une fois à l'intérieur du réseau, le gang de ransomware russophone ALPHV/BlackCat a pu déployer son rançongiciel et exfiltrer une quantité faramineuse de données ultra-sensibles : informations personnelles, numéros de sécurité sociale, dossiers médicaux, données financières... Un véritable trésor pour des cybercriminels.
Malgré le paiement d'une rançon de 22 millions de dollars par UnitedHealth, une partie des données volées a fuité sur le darknet. Les conséquences pour les victimes risquent d'être durables, entre usurpation d'identité, chantage et menaces sur la vie privée.
Le revers de la consolidation des données de santé
Au-delà des failles de sécurité, cette cyberattaque met en lumière les risques liés à la consolidation massive des données de santé entre les mains de quelques géants comme UnitedHealth. Le rachat controversé de Change Healthcare en 2022, malgré l'opposition des autorités antitrust, a créé un véritable jackpot pour les hackeurs.
Avec la fusion, UnitedHealth a gagné l'accès aux données d'assurance santé d'environ la moitié de tous les Américains chaque année.
Département de la Justice américain
En concentrant autant de données critiques, ces mastodontes de la santé deviennent des cibles de choix pour les cybercriminels. Pourtant, les investissements dans la cybersécurité ne semblent pas suivre, comme l'illustre l'absence impardonnable d'authentification multifactorielle chez Change Healthcare.
Un électrochoc pour le secteur de la santé
Cette violation massive est un signal d'alarme pour tout le secteur de la santé. À l'heure de la transformation numérique et des objets connectés, la surface d'attaque ne fait que s'étendre. Hôpitaux, labos, assureurs... Tous doivent revoir urgemment leur cyberhygiène.
Car au-delà des données, c'est la confiance des patients qui est en jeu. Comment se fier à un système de santé qui peine à protéger ses secrets les plus intimes ? Les régulateurs devront aussi muscler leurs exigences et leurs contrôles, pour éviter que ce genre de méga-fuite ne se reproduise.
L'attaque de Change Healthcare doit servir de piqûre de rappel : à l'ère du tout-connecté, la cybersécurité n'est plus un luxe mais une nécessité vitale. C'est le prix à payer pour que la révolution de la e-santé ne tourne pas au cauchemar numérique.
