Le 21 février 2024, Change Healthcare, filiale de UnitedHealth Group traitant environ 15 milliards de transactions de santé par an aux États-Unis, a subi l’une des cyberattaques les plus dévastatrices de l’histoire du secteur médical américain, menée par le groupe ALPHV/BlackCat.
Comment l’attaque s’est produite
L’accès initial a eu lieu le 12 février 2024 via un portail Citrix d’accès distant dont le compte était protégé sans authentification multi-facteurs (MFA). Les attaquants ont utilisé des identifiants compromis pour pénétrer le réseau. Ils ont ensuite passé 9 jours à se déplacer latéralement dans le réseau, exfiltrant les données avant de déployer le ransomware le 21 février. Le CEO de UnitedHealth Group, Andrew Witty, a confirmé lors d’une audition devant le Congrès américain que l’absence de MFA sur ce portail était la cause directe de la compromission. Change Healthcare traitait à l’époque environ 40% de l’ensemble des demandes de remboursement de santé aux États-Unis.
Conséquences massives pour le système de santé américain
L’attaque a provoqué des perturbations pour l’ensemble des hôpitaux américains. Une enquête de l’American Hospital Association (AHA) menée en mars 2024 auprès de près de 1 000 hôpitaux a révélé que 74% d’entre eux ont signalé un impact direct sur les soins aux patients, incluant des retards dans les autorisations médicales. Les pharmacies ne pouvaient plus traiter les ordonnances via les assurances. Un ransom de 22 millions de dollars (350 bitcoins) a été versé par UnitedHealth à ALPHV/BlackCat. Le groupe a réalisé un « exit scam » sans rembourser son affilié, qui a ensuite rejoint RansomHub et exigé un second paiement. Au total, plus de 100 millions de personnes ont été notifiées d’une violation de leurs données de santé.
Une vulnérabilité élémentaire aux conséquences catastrophiques
Cet incident illustre un paradoxe troublant : une faille de sécurité basique — l’absence de MFA sur un portail d’accès critique — a suffi à paralyser une infrastructure traitant des centaines de milliards de dollars de transactions médicales annuelles et à exposer les données de santé de plus de 100 millions d’Américains.
Recommandations clés
- Imposer le MFA sans exception sur TOUS les accès distants et portails d’administration
- Auditer et supprimer tous les comptes de service sans MFA dans l’ensemble du parc informatique
- Mettre en place des architectures Zero Trust pour les accès aux données médicales
- Effectuer des tests d’intrusion réguliers simulant des accès via des identifiants compromis
- Maintenir des plans de continuité d’activité testés, permettant de traiter les ordonnances
- Évaluer la dépendance aux plateformes centralisées et prévoir des solutions de secours
Articles Similaires
Cyberattaque contre la DGID du Sénégal
Une attaque attribuée au groupe Black Shrantac a perturbé les services fiscaux sénégalais. Les cybercriminels ont revendiqué le vol d'environ 1 To de données et exigé une rançon de 10 millions d'euros.
Piratage de la DAF du Sénégal
Les systèmes liés à la production des cartes nationales d'identité ont été affectés par une cyberattaque. Les assaillants ont affirmé avoir exfiltré 139 Go de données sensibles...
Fuite de données chez MTN Group
Le géant africain des télécommunications MTN a confirmé un incident de sécurité ayant entraîné l'exposition non autorisée de données personnelles de clients dans plusieurs pays africains....
Ransomware contre Telecom Namibia
L'opérateur national namibien a subi une attaque par rançongiciel ayant provoqué des interruptions de services et la divulgation de données revendiquée par les attaquants...
Cyberattaque contre Change Healthcare
Le groupe ALPHV/BlackCat a paralysé les systèmes de santé américains. L'incident a perturbé les pharmacies et entraîné le vol massif de données médicales...
Attaque contre CDK Global
Une cyberattaque a touché CDK Global, fournisseur de logiciels pour concessionnaires automobiles. Plus de 15 000 concessions en Amérique du Nord ont subi des perturbations...
Fuite de données chez Snowflake
Des cybercriminels ont exploité des comptes clients compromis sur la plateforme Snowflake, affectant plusieurs grandes entreprises et exposant des millions de données...
Cyberattaque contre Microsoft
Un groupe lié à la Russie a compromis plusieurs comptes de messagerie d'entreprise, accédant à des informations internes et à des échanges stratégiques...
Ransomware contre Synnovis
Une attaque a perturbé plusieurs hôpitaux londoniens, entraînant l'annulation d'opérations médicales et de nombreux examens de laboratoire...
Attaque contre le réseau X
Des cybercriminels ont revendiqué des perturbations massives du réseau social, provoquant des interruptions de service et des difficultés d'accès pour les utilisateurs...