Piratage massif de données médicales aux États-Unis : le récit
Le secteur de la santé aux États-Unis vient de subir l'une des plus importantes cyberattaques de son histoire. Change Healthcare, filiale technologique du géant de l'assurance maladie UnitedHealth, a été la cible d'un ransomware en février dernier. L'attaque a exposé les données médicales sensibles de plus de 100 millions d'Américains, soulevant de sérieuses inquiétudes quant à la sécurité des informations de santé à l'ère numérique.
Un mercredi noir pour les systèmes de santé américains
Le 21 février 2024 restera une date sombre pour Change Healthcare et l'ensemble du système de santé américain. Les pannes se sont soudainement multipliées à travers le pays : systèmes de facturation bloqués, traitements des demandes d'assurance interrompus... Rapidement, l'entreprise a confirmé faire face à une « interruption du réseau liée à un problème de cybersécurité ». Elle venait d'être touchée par une attaque ransomware.
Change Healthcare traite la facturation et les assurances pour des centaines de milliers d'hôpitaux, pharmacies et cabinets médicaux à travers les États-Unis. Suite à une série de fusions-acquisitions, l'entreprise gère désormais entre un tiers et la moitié de toutes les transactions de santé du pays. Une position qui en fait une cible de choix pour les cybercriminels en quête de données sensibles à monnayer.
Le ransomware ALPHV/BlackCat derrière l'attaque
UnitedHealth a rapidement identifié les responsables de l'attaque : le gang de ransomware ALPHV, également connu sous le nom de BlackCat. Ce groupe de cybercriminels russophones est connu pour développer des rançongiciels vendus en tant que service à des « affiliés » qui se chargent des attaques. Un modèle lucratif qui leur a permis de s'imposer comme l'un des acteurs majeurs de la scène cybercriminelle.
Sur son site de fuite hébergé sur le Dark Web, ALPHV/BlackCat a revendiqué le vol de millions de dossiers médicaux appartenant à des patients américains. Une menace de publication brandie pour forcer UnitedHealth à payer une rançon. Face au risque de voir ces données ultra-sensibles dévoilées, l'entreprise s'est résolue à verser 22 millions de dollars aux pirates début mars.
Une rançon payée, des données toujours menacées
Mais à peine le paiement effectué, le gang ALPHV/BlackCat disparaît des radars. Son site affiche un message annonçant sa saisie par les autorités américaines et britanniques... Sauf que celles-ci démentent être à l'origine de cette fermeture. Il s'agirait en réalité d'une « exit scam », une arnaque consistant pour les opérateurs à s'enfuir avec la caisse sans redistribuer leur part aux affiliés.
L'affilié lésé passe alors à l'action. Arguant que les données volées sont « toujours entre [ses] mains », il crée un nouveau groupe baptisé RansomHub et exige une deuxième rançon d'UnitedHealth. Pour prouver sa détermination, il publie même un échantillon de dossiers médicaux dérobés lors de l'attaque. Change Healthcare se retrouve prise en étau dans un cauchemar d'extorsion à répétition.
Plus de 100 millions d'Américains touchés
L'ampleur de la catastrophe se précise au fil des semaines. Après avoir initialement évoqué une brèche touchant « une part substantielle de la population américaine », UnitedHealth finira par reconnaître en octobre que le piratage concerne les données d'au moins 100 millions de personnes. Du jamais vu pour une cyberattaque dans le secteur médical américain.
Dossiers médicaux, diagnostics, ordonnances, résultats d'examens, imagerie, plans de traitement... Le butin numérique des pirates est un condensé d'informations parmi les plus intimes et sensibles. Leur exposition fait craindre des dommages considérables pour les patients, avec des risques allant de la discrimination à l'usurpation d'identité en passant par le chantage.
Les failles béantes de la cybersécurité médicale
Interrogé par une commission du Congrès, le PDG d'UnitedHealth Andrew Witty a admis que les hackers avaient pénétré les systèmes de Change Healthcare en utilisant le mot de passe d'un seul compte utilisateur, qui n'était pas protégé par une authentification multi-facteurs. Une négligence de sécurité élémentaire qui aura suffi à provoquer l'une des plus grandes fuites de données médicales de l'histoire.
Les soins de santé sont devenus la cible numéro un des ransomwares. Il faut dire que le secteur a pris du retard en matière de cybersécurité, et les attaquants l'ont bien compris.
– Suzanne Schwartz, directrice de la cybersécurité à la FDA
Face à la multiplication des menaces, les acteurs de la santé vont devoir urgemment renforcer leurs défenses cyber. Entre sensibilisation des équipes, sécurisation des accès et mise à jour régulière des systèmes, le chemin à parcourir s'annonce long et semé d'embûches. Mais il en va de la sécurité des données les plus précieuses : celles de nos vies.
