La cyberattaque massive subie par Change Healthcare en février 2024 restera dans les annales comme la plus grande fuite de données médicales de l’histoire des États-Unis. Près d’un an après les faits, l’entreprise vient de confirmer que ce sont les informations personnelles de santé de pas moins de 190 millions d’Américains qui ont été dérobées par des cybercriminels. Retour sur la chronologie de cet événement sans précédent.
21 février 2024 : Première alerte, Change Healthcare victime d’un « problème de cybersécurité »
Ce mercredi semblait ordinaire jusqu’à ce que de nombreux cabinets médicaux et pharmacies constatent des dysfonctionnements soudains dans leurs systèmes de facturation et de traitement des demandes de remboursement. Change Healthcare, qui gère les transactions pour une grande partie du secteur de la santé américain, confirme subir une interruption de réseau liée à un problème de cybersécurité. L’entreprise a dû couper tous ses systèmes pour isoler les intrus, causant des perturbations majeures.
29 février 2024 : UnitedHealth confirme une attaque par ransomware menée par le gang ALPHV/BlackCat
Après avoir initialement attribué l’intrusion à des hackers sponsorisés par un état, UnitedHealth, maison-mère de Change Healthcare, révèle qu’il s’agit en fait de l’œuvre d’un gang de ransomware connu sous le nom de ALPHV ou BlackCat. Ce groupe de cybercriminels russophones prétend avoir volé les données sensibles de millions d’Américains.
3-5 mars 2024 : UnitedHealth paie une rançon de 22 millions de dollars, les hackers disparaissent
Début mars, coup de théâtre : le site de fuite du gang ALPHV est remplacé par un avis de saisie des autorités américaines et britanniques. Mais celles-ci démentent. Tout indique qu’ALPHV a empoché la rançon de 22 millions de dollars payée par UnitedHealth avant de s’enfuir, laissant les données volées derrière eux.
13 mars 2024 : Perturbations majeures dans le secteur de la santé, craintes d’une fuite massive de données
Plusieurs semaines après le début de la cyberattaque, de nombreux Américains peinent toujours à obtenir leurs médicaments ou doivent payer de leur poche. L’assureur santé militaire TriCare indique que « toutes les pharmacies militaires dans le monde » sont touchées. L’Association Médicale Américaine déplore le manque d’informations de la part d’UnitedHealth sur ces perturbations à grande échelle.
28 mars 2024 : Le gouvernement américain propose une prime de 10 millions de dollars pour arrêter les leaders d’ALPHV
Prenant la mesure de la menace que représente la possible publication en ligne d’une quantité faramineuse de données médicales d’Américains, Washington porte à 10 millions de dollars la récompense pour toute information permettant d’identifier ou localiser les cerveaux derrière ALPHV/BlackCat et leurs affiliés.
15 avril 2024 : Un affilié mécontent d’ALPHV publie une partie des données volées et réclame une 2e rançon
Mi-avril, rebondissement : un ancien sous-traitant d’ALPHV, furieux de s’être fait flouer sur le paiement de la rançon, crée son propre groupe d’extorsion baptisé RansomHub. Il publie un échantillon de dossiers médicaux confidentiels dérobés chez Change Healthcare et réclame une deuxième rançon à UnitedHealth. Maintenant que le géant de l’assurance a payé une fois, il risque de voir cette tactique se reproduire.
22 avril 2024 : UnitedHealth admet que la cyberattaque a touché « une part substantielle de la population américaine »
UnitedHealth reconnaît enfin l’ampleur de la fuite de données, plus de 2 mois après les faits, indiquant qu’elle concerne probablement une « part substantielle de la population américaine », sans préciser le nombre de millions de personnes. L’entreprise confirme aussi avoir payé une rançon, mais refuse de dire combien au total.
1er mai 2024 : Le PDG d’UnitedHealth témoigne des failles de sécurité « basiques » chez Change Healthcare
Devant une commission du Congrès, le PDG d’UnitedHealth Andrew Witty admet que les hackers ont pénétré les systèmes de Change Healthcare en utilisant simplement les identifiants volés d’un compte employé non protégé par l’authentification multi-facteurs, une mesure de sécurité pourtant élémentaire. Cette faille de sécurité aura permis l’un des plus gros piratages de données de l’histoire américaine.
20 juin 2024 : Change Healthcare commence à notifier les hôpitaux et cabinets médicaux des données dérobées
Il aura fallu quatre mois à Change Healthcare pour commencer à informer les établissements de santé sur les données de leurs patients qui ont été volées, conformément à la loi. Vu l’ampleur et la complexité de l’incident, le Département américain de la Santé autorise les petits cabinets médicaux, lourdement impactés financièrement, à demander à UnitedHealth de notifier les patients à leur place.
24 octobre 2024 : UnitedHealth confirme qu’au moins 100 millions d’Américains sont touchés
Plus de huit mois après la cyberattaque, UnitedHealth annonce officiellement que la fuite de données concerne déjà plus de 100 millions d’individus, faisant de cette affaire le plus gros vol numérique de dossiers médicaux de l’histoire. Et ce n’est sans doute pas fini, les notifications aux personnes touchées se poursuivant.
24 janvier 2025 : Le bilan grimpe à 190 millions d’Américains touchés
Près d’un an après les faits, UnitedHealth révèle l’étendue vertigineuse de ce piratage : les informations personnelles de santé de 190 millions de personnes, soit plus de la moitié de la population américaine, se sont retrouvées entre les mains de cybercriminels. Un chiffre qui s’explique par la quantité colossale de données médicales et de transactions traitées chaque jour par Change Healthcare pour le compte de tout le secteur de la santé américain.
Cette cyberattaque hors norme, causée par des failles de sécurité basiques, aura créé le chaos pendant des mois dans le système de santé des États-Unis. Si les motivations des hackers semblent avant tout financières, elle soulève de sérieuses inquiétudes sur les risques d’exposition de données médicales ultra-sensibles. Une catastrophe pour la sécurité et la vie privée de millions d’Américains.
