L’attaque du rançongiciel qui a englouti le géant américain de l’assurance maladie UnitedHealth Group et sa filiale technologique Change Healthcare est un cauchemar en matière de confidentialité des données pour des millions de patients américains, le PDG Andrew Witty confirmant cette semaine que cela pourrait affecter jusqu’à un tiers du pays.
Mais cela devrait également servir de signal d’alarme pour tous les pays, y compris le Royaume-Uni où UnitedHealth exerce désormais son activité via l’acquisition récente d’une société qui gère les données appartenant à des millions de patients du NHS (National Health Service).
En tant que l’une des plus grandes sociétés de soins de santé aux États-Unis, UnitedHealth est bien connue au niveau national, recoupant toutes les facettes du secteur de la santé, de l’assurance à la facturation, en passant par les réseaux de médecins et de pharmacies. Il s’agit d’un poids lourd de 500 milliards de dollars, et le 11e la plus grande entreprise au monde en termes de chiffre d’affaires. Mais au Royaume-Uni, UnitedHealth est pratiquement inconnu, principalement parce qu’il n’a pas eu beaucoup d’affaires de l’autre côté de l’Atlantique – jusqu’à il y a six mois.
Après un processus réglementaire de 16 mois qui s’est terminé en octobre, Optum UK, filiale d’UnitedHealth, via une filiale appelée Bordeaux UK Holdings II Limited, a finalement pris possession d’EMIS Health dans le cadre d’un accord de 1,5 milliard de dollars. EMIS Health fournit un logiciel qui connecte les médecins aux patients, leur permettant de prendre rendez-vous, de commander des ordonnances répétées et bien plus encore. L’un de ces services est l’accès aux patients, qui réclamations quelque 17 millions d’utilisateurs enregistrés qui ont pris collectivement 1,4 million de rendez-vous chez le médecin de famille via l’application l’année dernière et ont commandé plus de 19 millions d’ordonnances répétées.
Rien n’indique que les données des patients britanniques soient en danger ici : il s’agit de différentes filiales, avec des configurations différentes, relevant de différentes juridictions. Mais selon son témoignage au Sénat mercredi, Witty a imputé le piratage au fait que depuis que UnitedHealth a acquis Change Healthcare en 2022, il n’avait pas mis à jour ses systèmes – et à l’intérieur de ces systèmes se trouvait un serveur qui n’avait pas d’authentification multifacteur ( MFA) activé.
Nous savons que des pirates ont volé des données de santé en utilisant des « informations d’identification compromises » pour accéder à un portail Change Healthcare Citrix destiné à permettre aux employés d’accéder à distance aux réseaux internes. Étonnamment, Witty a déclaré que l’entreprise s’efforçait toujours de comprendre pourquoi la MFA n’était pas activée, deux mois après l’attaque. Cela n’inspire pas beaucoup de confiance aux professionnels de la santé britanniques et aux patients utilisant EMIS Health sous les auspices de ses nouveaux propriétaires.
Ce n’est pas un cas isolé.
Par ailleurs cette semaine, le hacker Aleksanteri Kivimäki, 25 ans, a été emprisonné pendant plus de six ans pour avoir infiltré une société appelée Vastaamo en 2020, volé des données de santé appartenant à des milliers de patients finlandais et tenté d’extorquer et de faire chanter à la fois l’entreprise et les patients concernés.
Que les attaques contre rançon réussissent ou non, elles s’avèrent en fin de compte lucratives : les paiements aux auteurs auraient doublé pour atteindre plus d’un milliard de dollars en 2023, une année record selon de nombreux témoignages. Au cours de son témoignage, Witty a confirmé des informations précédentes selon lesquelles UnitedHealth aurait versé une rançon de 22 millions de dollars à ses pirates informatiques.
Les données de santé, une denrée précieuse
Mais ce qui ressort le plus de tout cela, c’est que les données personnelles – en particulier les données de santé – constituent un bien mondial considérable et doivent être protégées en conséquence. Cependant, nous constatons toujours une hygiène de cybersécurité incroyablement médiocre, ce qui devrait préoccuper tout le monde.
Comme TechCrunch l’a écrit il y a quelques mois, il devient de plus en plus difficile d’accéder même aux soins de santé les plus élémentaires sur le NHS financé par l’État sans accepter de donner à des entreprises privées l’accès à vos données – qu’il s’agisse d’une multinationale d’un milliard de dollars ou d’une entreprise. -démarrage soutenu.
Il peut y avoir des raisons opérationnelles et pratiques légitimes pour lesquelles travailler avec le secteur privé a du sens, mais la réalité est que de tels partenariats augmentent la surface d’attaque que les acteurs malveillants peuvent cibler, quelles que soient les obligations, les politiques et les promesses qu’une entreprise pourrait avoir en place.
De nombreux cabinets de médecins de famille au Royaume-Uni exigent désormais que les patients utilisent un logiciel de triage tiers pour prendre rendez-vous, et à moins de parcourir les petits caractères des politiques de confidentialité avec un peigne fin, il est souvent difficile de savoir avec qui le patient fait réellement affaire.
En fouillant dans la politique de confidentialité d’un fournisseur de services de tri appelé Patchs Health, qui affirme prendre en charge plus de 10 millions de patients à travers le NHS, on révèle qu’il s’agit simplement du « sous-traitant » des données responsable du développement et de la maintenance du logiciel. Le principal processeur de données engagé pour fournir le service est en fait une société de capital-investissement appelée Advanced, qui a été touchée par une attaque de ransomware il y a deux ans, forçant les services du NHS à se déconnecter. Semblable à l’attaque UnitedHealth, des informations d’identification légitimes ont été utilisées pour accéder à un serveur Citrix.
Il n’est pas nécessaire de plisser les yeux pour voir les parallèles entre ce qui s’est passé avec UnitedHealth et ce qui pourrait arriver au Royaume-Uni avec la myriade d’entreprises privées concluant des partenariats avec le NHS.
La Finlande sert également de rappel prémonitoire alors que le NHS s’enfonce plus profondément dans le domaine privé. Considérée comme l’un des crimes les plus graves jamais commis dans le pays, la violation de données de Vastaamo s’est produite après qu’une société privée de psychothérapie, aujourd’hui disparue, ait été sous-traitée par le système de santé public finlandais. Aleksanteri Kivimäki a infiltré une base de données Vastaamo non sécurisée, et après que Vastaamo ait refusé de payer une rançon Bitcoin de 450 000 €, Kivimäki a tenté de faire chanter des milliers de patients, menaçant de publier des notes de thérapie intime.
Au cours de l’enquête qui a suivi, il a été constaté que Vastaamo avait mis en place des processus de sécurité totalement inadéquats. Sa base de données de patients a été exposée à l’Internet ouvert, y compris des données sensibles non cryptées telles que des coordonnées, des numéros de sécurité sociale et des notes de thérapeutes. Le médiateur finlandais pour la protection des données a noté que la cause la plus probable de la violation était un « port MySQL non protégé dans la base de données », où le compte utilisateur root n’était pas protégé par mot de passe. Ce compte permettait un accès illimité à la base de données à partir de n’importe quelle adresse IP et le serveur n’avait aucun pare-feu en place.
Au Royaume-Uni, de nombreuses inquiétudes ont été exprimées quant à la manière dont le NHS ouvre l’accès aux données. Le partenariat le plus médiatisé a eu lieu l’année dernière, lorsque la société d’analyse de données massives soutenue par Peter Thiel, Palantir, a remporté des contrats massifs auprès du NHS England pour l’aider à passer à une nouvelle plate-forme de données fédérées (FDP) – au grand dam des médecins et des données. défenseurs de la vie privée à travers le pays.
Tout cela semble cependant quelque peu inévitable. Les défenseurs de la vie privée crient et hurlent, mais les grandes entreprises disposant de beaucoup d’argent continuent d’obtenir les clés de données sensibles appartenant à des millions de personnes. Des promesses sont faites, des assurances sont données, des processus sont mis en œuvre, puis quelqu’un oublie de configurer l’AMF de base ou laisse une clé de cryptage sous le paillasson, et tout explose.
Rincer et répéter.