GlobalSign Blog

Série « Autopsie d'un cybercrime » : l'attaque par hameçonnage de Magellan Health

Série « Autopsie d'un cybercrime » : l'attaque par hameçonnage de Magellan Health

Note de la rédaction : octobre marque le mois européen de la sensibilisation à la cybersécurité, un mois entier dédié à la création d’un monde cyber plus sécurisé pour tous. Nous vous avions déjà livré 31 conseils pour être mieux informés. Cette année, pour mettre en lumière ce sujet crucial, nous avons décidé de présenter quatre incidents de cybersécurité de grande ampleur qui auraient pu être évités avec plus de vigilance et une meilleure stratégie de défense. Rejoignez-nous chaque semaine d’octobre pour découvrir l’une de ces cyberattaques qui ont défrayé la chronique, et continuez à nous suivre pour rester informés et éviter d’ajouter votre nom à la liste des victimes. 

La cybervictime

La compagnie d’assurance maladie Magellan Health, qui figure au classement Fortune 500 des 500 premières entreprises américaines.

Le fond de l'affaire

Magellan Health a découvert une brèche de sécurité survenue dans ses systèmes au mois d’avril 2020. À l’aide de techniques d’ingénierie sociale sophistiquées, un hacker s’était fait passer pour un client de Magellan Health et avait pu accéder aux serveurs de l’assureur santé. Suite à cette première intrusion, une attaque par rançongiciel avait alors été lancée. Des mois plus tard, le nombre de victimes de l’attaque se chiffre à environ 1,7 million et les données piratées concernent des données personnelles du personnel interne et de clients externes. 

L'historique des cyberattaques chez Magellan Health

Magellan Health s’était déjà fait tristement connaître pour d’autres incidents de sécurité. Un peu moins d'un an auparavant, l’assureur avait déjà été la cible d'une autre violation de données, perpétrée cette fois dans le cadre d’une attaque par hameçonnage (phishing). En avait-elle tiré les leçons ? Pas vraiment.  

Le récit des événements 

  • Le 6 avril 2020 : S’appuyant sur des techniques d’ingénierie sociale perfectionnées, les pirates informatiques accèdent, à l’insu de Magellan, à l’un de ses serveurs en envoyant un e-mail de phishing. En se faisant passer pour un client de Magellan Health, un attaquant ouvre un point d'accès à leurs serveurs.
  • Du 6 au 11 avril 2020 : L'usurpateur exfiltre des données sensibles, comme les noms, les coordonnées de contact, les numéros d'identification d’employés, les numéros de sécurité sociale et les numéros d'identification de contribuables. Les auteurs de l’attaque parviennent également à installer des logiciels malveillants et à mettre la main sur d'autres identifiants de connexion et mots de passe appartenant à des employés de Magellan.
  • Le 11 avril 2020 : Magellan découvre qu’il a été victime d’une attaque par rançongiciel (ransomware). 
  • Après le 11 avril 2020 : Après cette découverte, Magellan fait appel à la société de cybersécurité Mandiant pour l'aider à enquêter sur l'incident. 
  • Le 7 juillet 2020 : À cette date, un rapport adressé au Département de la Santé et des Services sociaux des États-Unis est publié, faisant état de 365 000 patients concernés par la violation de données. 
  • Le 13 août 2020 : Le nombre de personnes touchées continue à grimper, de nombreux rapports de violations de données ayant été déposés par plusieurs entités Magellan et des entreprises affiliées. Le nombre de victimes s’élève alors à 1,7 million de personnes

Magellan Health April 2020 attack timeline.png

Les structures touchées

Apparemment, l’attaque n’a ménagé personne. Au vu du nombre de révisions du décompte des victimes depuis la découverte de l'incident en avril, les hackers semblent avoir multiplié les chemins d’intrusion pour accéder à divers types d’informations. L’attaque par ingénierie sociale a ouvert l'accès à un serveur interne, exposant les informations confidentielles d’une partie des employés. Une fois installé, le malware a dérobé d’autres identifiants de connexion et mots de passe afin de s’infiltrer plus profondément dans les réseaux. À ce stade, près d’une douzaine de rapports d'incidents ont été déposés et 1,7 million de personnes sont touchées par la violation de données, tant en interne chez l’assureur qu’à l’extérieur. Les attaquants ont frappé fort !

Le mode d'entrée probable

Comment les attaquants se sont-ils introduits ? Il a suffi d’une attaque d’hameçonnage ciblée. Une attaque simple, mais très astucieuse. Dans 70 % à 90 % de toutes les violations de données, les pirates utilisent des techniques de phishing et d’ingénierie sociale ; le secteur de la santé est d’ailleurs leur cible privilégiée. Une fois dans la place, un hacker peut s'infiltrer dans les systèmes. Dans le cas de Magellan Health, les attaquants se sont appuyés sur des techniques d'ingénierie sociale pour pénétrer dans les systèmes. Ils ont à cet effet parcouru les données d’employés et utilisé des logiciels malveillants pour récupérer d’autres identifiants de connexion avant de lancer leur attaque par rançongiciel. Ce n’est qu'à ce stade que l’attaque a été repérée. 

Le diagnostic

Cible numéro un des cyberattaquants, le secteur de la santé se trouve face à un risque de sécurité élevé. Les données en jeu sont lucratives et, le butin d’une attaque par rançongiciel peut être tentant pour un hacker ambitieux. Malgré la trêve promise au secteur de la santé par plusieurs groupes liés au cybercrime pendant la bataille que nous menons contre le Covid-19, les hackers ne semblent pas tous avoir été mis au parfum. Et même pour ceux qui font actuellement une pause, il est fort probable qu’ils reviennent en force dans un avenir proche. 

En Allemagne, le récent piratage du site de l’hôpital universitaire de Düsseldorf s’est terminé de la pire façon qui soit, avec le décès d'une patiente. À cause d’un système rendu inaccessible, le service des urgences a été contraint de fermer, et la patiente est décédée pendant son transfert vers un autre hôpital. Dans cette affaire, la police a pu contacter l'agresseur qui ignorait peut-être que la victime de sa rançon était un hôpital, et a accepté de remettre la clé de chiffrement afin de débloquer les données. L’issue des prochaines attaques sera-t-elle aussi rapide ? Mieux vaut ne pas tester pour savoir…

Autre exemple de piratage d’envergure dans le secteur de la santé (mais pas seulement) : l’attaque WannaCry de 2017. Cette attaque avait privé le système de santé britannique d’accès à ses données et contraint les médecins à annuler des interventions chirurgicales. WannaCry avait attaqué des systèmes d'exploitation plus anciens comme Windows XP et Windows 7 — des OS encore souvent utilisés sur les vieux systèmes équipant les structures de santé. L’incident n’a fait que souligner l’importance de mettre à jour les systèmes d'exploitation et les cyberdéfenses, et de réactualiser la formation des employés à la sécurité numérique. 

Le secteur de la santé traite certaines des données les plus personnelles ; des données qui méritent tout particulièrement d'être protégées. La mise en place de défenses de cybersécurité et de formations à la sécurité numérique est d’une importance capitale, car on ne joue pas avec la vie des personnes les plus fragiles. 

Magellan Health a considéré l’attaque comme un rappel à l’ordre tardif : depuis, l’assureur a renforcé les protocoles de sécurité de ses réseaux, de ses environnements de messagerie et de ses données personnelles. Mais pour beaucoup d’employés et clients du groupe, cela arrive trop tard. Puisse cet incident servir de piqûre de rappel à l’ensemble du secteur de la santé pour l’inciter à mettre tout en œuvre pour protéger leurs données. 

Avez-vous besoin d'aide pour sensibiliser votre personnel au phishing ou souhaitez-vous mettre en place des processus d’accompagnement à leur attention ? Nous avons publié quelques guides pratiques sur comment repérer les e-mails malveillants, mettre en place des programmes de formation sur le phishing, signer numériquement ses courriers électroniques ainsi que des conseils de sensibilisation à la sécurité des données dans le secteur de la santé

Share this Post