Dans un monde de plus en plus connecté, nos données personnelles et médicales sont une cible de choix pour les cybercriminels. HealthEquity, un géant américain de l’administration des avantages sociaux comptant plus de 15 millions de comptes clients, vient d’en faire la douloureuse expérience. En mars dernier, l’entreprise a subi une brèche de sécurité ayant compromis les informations sensibles de pas moins de 4,3 millions de personnes.
Le compte d’un fournisseur piraté à l’origine de la faille
Selon HealthEquity, l’incident a eu lieu après qu’un compte fournisseur ait été piraté et son mot de passe volé. Les malfaiteurs ont ainsi pu accéder à un dépôt de données non structuré en dehors du réseau principal de l’entreprise, contenant une mine d’or d’informations sur les clients :
- Noms, adresses, numéros de téléphone
- Numéros de sécurité sociale
- Informations sur les employeurs et les personnes à charge
- Données de cartes de paiement
- Diagnostics et ordonnances médicales pour certains
Un véritable trésor pour quiconque voudrait usurper l’identité de ces personnes ou exploiter leurs données médicales. HealthEquity a déclaré que les données compromises variaient selon les individus, mais qu’il s’agissait principalement d’informations fournies lors de l’inscription aux comptes et liées aux avantages administrés par l’entreprise.
Le vol de mots de passe, une menace sous-estimée
Cet incident met en lumière les dangers du vol de mots de passe, souvent perpétré via des malwares spécifiques. Ces logiciels malveillants peuvent même contourner l’authentification multifactorielle en dérobant les jetons de session, permettant aux pirates de se connecter comme s’ils étaient l’employé légitime.
Plusieurs autres entreprises ont récemment été victimes d’incidents de sécurité similaires impliquant le vol de mots de passe d’employés, notamment Activision, Snowflake et Worldcoin.
– Exemples de sociétés touchées
Toutefois, HealthEquity a assuré que cette brèche était un « incident isolé » sans lien avec les récentes fuites de données client chez le géant du cloud Snowflake.
Notification aux personnes concernées
HealthEquity a publié un avis de violation de données sur son site web pour informer les 4,3 millions de personnes touchées. Cependant, l’entreprise a curieusement inclus un code « noindex » caché sur la page, empêchant les moteurs de recherche de la référencer et donc les personnes concernées de la trouver facilement. Un choix étonnant alors que la transparence est de mise en pareilles circonstances.
Les leçons à tirer pour les entreprises
Ce type d’incident est un rappel cinglant de l’importance de la sécurité informatique et de la protection des données pour toutes les entreprises, en particulier celles gérant des informations aussi sensibles que des données médicales. Quelques bonnes pratiques s’imposent :
- Sensibiliser les employés aux risques de vol de mots de passe et à l’importance de ne pas réutiliser les mêmes partout
- Mettre en place une authentification multifactorielle robuste et une surveillance des connexions suspectes
- Restreindre au maximum les accès des fournisseurs et prestataires externes aux données de l’entreprise
- Chiffrer et compartimenter les données sensibles, en particulier si elles sont stockées en dehors du réseau principal
En attendant d’en savoir plus, les millions de personnes touchées par cette faille ne peuvent qu’espérer que leurs données personnelles et médicales ne tombent pas entre de mauvaises mains et surveiller attentivement tout signe d’utilisation frauduleuse. Un énième rappel que dans notre société numérique, la sécurité de nos informations les plus intimes est un combat de tous les instants.
