Cyberattaque de Change Healthcare : La Chronologie d’une Faille Massive
L'attaque par ransomware qui a frappé début 2024 Change Healthcare, entreprise tech du géant UnitedHealth, s'annonce d'ores et déjà comme l'une des plus grandes violations de données médicales américaines de l'histoire. Des mois après l'incident, une "proportion substantielle de la population américaine" reçoit un courrier les informant que leurs informations personnelles et médicales ont été dérobées lors de cette cyberattaque d'ampleur.
Change Healthcare gère la facturation et les assurances pour des centaines de milliers d'hôpitaux, pharmacies et cabinets médicaux à travers le pays. Au fil de fusions-acquisitions, l'entreprise est devenue un acteur majeur du traitement des données de santé, gérant entre un tiers et la moitié de toutes les transactions médicales américaines. Retour sur le déroulé de cette cyberattaque hors normes.
21 février 2024 : Premières pannes, un incident de sécurité se profile
Ce mercredi après-midi semblait ordinaire, jusqu'à ce que les systèmes de facturation des cabinets médicaux et les traitements des demandes d'assurance ne cessent brutalement de fonctionner. Change Healthcare confirme "une interruption réseau liée à un problème de cybersécurité", déclenchant ses protocoles et coupant l'intégralité de son réseau pour isoler les intrus. De vastes pans du secteur médical qui dépendent de l'entreprise pour la gestion des assurances et facturations se retrouvent paralysés.
29 février 2024 : UnitedHealth confirme une attaque par un groupe de ransomware
Après avoir initialement attribué l'intrusion à des hackers étatiques, UnitedHealth précise qu'il s'agit en réalité de l'œuvre d'un groupe criminel de ransomware nommé "ALPHV/BlackCat". Ce groupe russophone revendique sur son site de fuite le vol de millions de données médicales américaines sensibles, donnant un premier aperçu de l'ampleur de l'incident.
3-5 mars 2024 : UnitedHealth verse une rançon de 22 millions de dollars aux hackers, qui disparaissent
Début mars, le groupe ALPHV s'est volatilisé, son site de fuite affichant un faux message de saisie des autorités. Un affilié du groupe affirme que les leaders d'ALPHV ont empoché les 22 millions de dollars de rançon payés par UnitedHealth avant de s'enfuir, mais que les données volées sont toujours en leur possession. UnitedHealth a donc payé pour des données finalement non restituées...
13 mars 2024 : Perturbations majeures dans le secteur médical, craintes d'une fuite massive de données
Des semaines après le début de la cyberattaque, les pannes perdurent. L'assureur militaire TriCare indique que "toutes les pharmacies militaires dans le monde" sont affectées. L'American Medical Association déplore le manque d'informations d'UnitedHealth alors que la perturbation continue de se propager dans tout le secteur de la santé.
22 avril 2024 : Un affilié du ransomware publie des données médicales volées et exige une 2e rançon
Mi-avril, l'affilié lésé du groupe ALPHV monte un nouveau site d'extorsion, "RansomHub", et y publie une portion des dossiers médicaux dérobés chez Change Healthcare. Disposant toujours des données volées, il exige à son tour une rançon d'UnitedHealth. Un cas typique de "double extorsion", voire de "triple extorsion" quand les clients des victimes sont aussi extorqués, pratiques contre lesquelles les autorités mettent en garde.
1er mai 2024 : Le PDG d'UnitedHealth témoigne d'un manque de mesures de cybersécurité basiques chez Change
Devant le Congrès, le PDG d'UnitedHealth Andrew Witty admet que les hackers ont pénétré les systèmes de Change Healthcare en utilisant simplement le mot de passe d'un compte utilisateur non protégé par l'authentification multi-facteurs, une mesure de sécurité élémentaire. L'une des plus grandes violations de données médicales de l'histoire aurait donc pu être évitée...
UnitedHealth a confirmé le 22 avril que la violation affecte probablement une "proportion substantielle de la population américaine", potentiellement plus de 100 millions de personnes au vu de la part de marché de Change Healthcare.
20 juin 2024 : Change Healthcare commence à notifier les hôpitaux et patients affectés
Il aura fallu 4 mois à Change Healthcare pour commencer à informer formellement les personnes affectées, un délai en partie dû à l'ampleur gigantesque du jeu de données volé. La société publie un avis révélant la violation et indique qu'elle ne peut confirmer précisément quelles données ont été dérobées pour chaque individu. Le Département américain de la Santé intervient même pour permettre aux établissements de santé affectés de déléguer à UnitedHealth la notification des patients.
29 juillet 2024 : Les premières notifications aux individus affectés partent enfin
Fin juillet, Change Healthcare confirme le début de l'envoi au compte-gouttes des notifications individuelles. Les courriers, provenant de Change ou directement des établissements de santé concernés, confirment le vol potentiel de données médicales, d'assurance, de facturation et même bancaires des patients. Une opération titanesque au vu des dizaines de millions de personnes affectées par ce qui s'annonce comme la plus grande cyberattaque médicale de l'histoire américaine.