Une cyberattaque par ransomware plus tôt cette année sur la société de technologie de la santé Change Healthcare, détenue par UnitedHealth, se positionne probablement comme l’une des plus grandes violations de données médicales américaines de l’histoire. Des mois après l’incident survenu en février, une « proportion substantielle des habitants des États-Unis » reçoivent une notification par courrier que leurs données personnelles et médicales ont été dérobées par des cybercriminels lors de cette attaque. Au moins 100 millions de personnes sont désormais connues comme étant affectées par cette brèche.
Chronologie des événements clés
Voici un résumé des principaux développements depuis le début de l’attaque :
- 21 février 2024 : Premiers signalements de pannes alors qu’un incident de sécurité apparaît. Change Healthcare confirme un « problème lié à la cybersécurité ».
- 29 février 2024 : UnitedHealth confirme qu’un gang de rançongiciels est à l’origine de l’attaque, nommé ALPHV/BlackCat.
- 3-5 mars 2024 : UnitedHealth verse une rançon de 22 millions de dollars aux pirates, qui disparaissent ensuite avec les données volées.
- 13 mars 2024 : De vastes perturbations à travers les soins de santé américains au milieu des craintes d’une violation de données massive.
- 28 mars 2024 : Le gouvernement américain porte à 10 millions de dollars sa prime pour des informations menant à la capture des responsables d’ALPHV.
- 15 avril 2024 : Un affilié mécontent d’ALPHV forme un nouveau gang de rançon appelé RansomHub et publie une partie des données de santé volées pour extorquer une deuxième rançon.
- 22 avril 2024 : UnitedHealth révèle que l’attaque par ransomware a volé les données de santé d’une « proportion substantielle des habitants des États-Unis », probablement plus de 100 millions de personnes.
- 1er mai 2024 : Le PDG d’UnitedHealth témoigne que Change n’utilisait pas de cybersécurité de base, permettant aux pirates d’entrer via un seul mot de passe sans authentification multifactorielle.
- 20 juin 2024 : Change Healthcare commence à notifier les hôpitaux et prestataires médicaux touchés des données spécifiques volées, plusieurs mois après la brèche initiale.
- 29 juillet 2024 : Les notifications aux individus affectés commencent à être envoyées par Change Healthcare ou les prestataires de soins spécifiques touchés.
- 24 octobre 2024 : Le bilan officiel est désormais d’au moins 100 millions de victimes, ce qui en fait le plus grand vol numérique de dossiers médicaux aux États-Unis.
Données sensibles dérobées et multiples extorsions
Les données volées incluent des informations hautement sensibles comme les dossiers médicaux, les diagnostics, les médicaments, les résultats de tests, les plans de soin et de traitement, ainsi que des informations personnelles des patients. Au-delà du risque de voir ces données publiées, les victimes sont confrontées à de multiples extorsions par différents cybercriminels ayant mis la main sur ces renseignements.
Les gangs de rançongiciels ne se contentent pas de chiffrer les fichiers ; ils volent également autant de données que possible et menacent de les publier si une rançon n’est pas payée. C’est ce qu’on appelle la « double extorsion ».
Dans certains cas, même lorsque la victime paie, le gang peut l’extorquer à nouveau ou cibler ses clients, une pratique baptisée « triple extorsion ». C’est précisément ce qui s’est produit ici, avec un affilié mécontent d’ALPHV qui a tenté d’obtenir un second paiement avec les données restantes en sa possession.
Des failles de sécurité basiques en cause
Les révélations du PDG d’UnitedHealth Group Andrew Witty devant le Congrès ont mis en lumière des manquements majeurs à la cybersécurité chez Change Healthcare. Les pirates ont pu pénétrer les systèmes en utilisant un simple mot de passe sur un compte utilisateur non protégé par l’authentification multifactorielle, une mesure de sécurité élémentaire.
L’une des plus grandes violations de données de l’histoire américaine était entièrement évitable.
Cet incident souligne cruellement la nécessité pour toutes les organisations, en particulier celles gérant des données sensibles comme dans le secteur de la santé, de mettre en œuvre des contrôles de cybersécurité robustes. Les mesures de base comme l’authentification multifactorielle et la gestion sécurisée des accès sont essentielles pour prévenir ce type d’attaques dévastatrices.
Un long et complexe processus de notification
Au vu de l’ampleur de la violation de données, le processus de notification des personnes affectées s’est avéré long et compliqué. Change Healthcare a dû examiner minutieusement l’ensemble des données volées pour identifier les individus concernés, un travail titanesque étant donné le volume d’informations en jeu.
Les notifications ont été envoyées sur plusieurs mois, à partir du 20 juin pour les hôpitaux et prestataires de soins touchés, puis à partir du 29 juillet pour les patients eux-mêmes. Le Département américain de la santé a même dû intervenir pour permettre à Change Healthcare de prendre en charge les notifications pour le compte des plus petits acteurs de santé.
Leçons à tirer et vigilance de mise
Ce cas d’école devrait servir d’électrochoc pour toutes les entreprises gérant des données sensibles :
- Aucune organisation n’est à l’abri des cybermenaces, quelles que soient sa taille et son secteur.
- Les contrôles de cybersécurité de base comme l’authentification multifactorielle sont cruciaux et ne doivent pas être négligés.
- Les données de santé sont particulièrement prisées des cybercriminels en raison de leur caractère hautement sensible et de leur potentiel d’exploitation.
- Payer une rançon ne garantit en rien la récupération des données ni la fin de l’extorsion, bien au contraire.
- Chaque organisation doit se préparer au pire et mettre en place un plan de réponse aux incidents pour réagir efficacement en cas d’attaque.
Alors que le secteur de la santé poursuit sa numérisation, la sécurisation des données des patients doit être une priorité absolue. Cette violation massive chez Change Healthcare doit servir de rappel cruel que la menace est plus présente que jamais, et que la vigilance est de mise à tous les niveaux.
