Le PDG d’UnitedHealth Group, Andrew Witty, a déclaré mercredi aux sénateurs que la société avait désormais activé l’authentification multifacteur sur tous les systèmes de l’entreprise exposés à Internet en réponse à la récente cyberattaque contre sa filiale Change Healthcare.
L’absence d’authentification multifacteur était au centre de l’attaque de ransomware qui a frappé Change Healthcare plus tôt cette année, qui a touché des pharmacies, des hôpitaux et des cabinets médicaux à travers les États-Unis. L’authentification multifacteur, ou MFA, est un mécanisme de cybersécurité de base qui empêche les pirates informatiques de s’introduire dans des comptes ou des systèmes avec un mot de passe volé en exigeant un deuxième code pour se connecter.
Dans une déclaration écrite soumise mardi avant deux audiences au Congrès, Witty a révélé que des pirates informatiques avaient utilisé un ensemble d’informations d’identification volées pour accéder à un serveur Change Healthcare, qui, selon lui, n’était pas protégé par une authentification multifacteur. Après avoir pénétré ce serveur, les pirates ont ensuite pu accéder aux systèmes d’autres entreprises pour exfiltrer les données, puis les chiffrer avec un ransomware, a déclaré Witty dans le communiqué.
Aujourd’hui, lors de la première de ces deux audiences, Witty a été confronté à des questions sur la cyberattaque de la part des sénateurs de la commission des finances. En réponse aux questions du sénateur Ron Wyden, Witty a déclaré que « à partir d’aujourd’hui, dans l’ensemble de l’UHG, tous nos systèmes externes sont dotés d’une authentification multifacteur activée. »
« Nous avons une politique appliquée dans toute l’organisation pour avoir une authentification multifacteur sur tous nos systèmes externes, qui est en place », a déclaré Witty.
Lorsqu’on lui a demandé de confirmer la déclaration de Witty, le porte-parole de UnitedHealth Group, Anthony Marusic, a déclaré à TechCrunch que Witty « a été très clair avec sa déclaration ».
Witty a blâmé le fait que les systèmes de Change Healthcare n’avaient pas encore été mis à niveau après l’acquisition de la société par UnitedHealth Group en 2022.
« Nous étions en train de mettre à niveau la technologie que nous avions acquise. Mais à l’intérieur, il y avait un serveur qui, je suis incroyablement frustré de vous le dire, n’était pas protégé par MFA », a déclaré Witty. « C’est via ce serveur que les cybercriminels ont pu accéder à Change. Et puis ils ont lancé une attaque de ransomware, si vous préférez, qui a chiffré et gelé de grandes parties du système.
Contactez-nous
Avez-vous plus d’informations sur l’attaque du ransomware Change Healthcare ? Depuis un appareil non professionnel, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram, Keybase et Wire @lorenzofb, ou par e-mail. Vous pouvez également contacter TechCrunch via SecureDrop.
Witty a également déclaré que la société s’efforçait toujours de comprendre exactement pourquoi l’authentification multifacteur n’était pas activée sur ce serveur.
Wyden a critiqué l’incapacité de l’entreprise à mettre à niveau le serveur. « Vos collaborateurs nous ont dit que vous aviez une politique, mais que vous ne la mettiez pas tous en œuvre. Et c’est pourquoi nous avons ce problème », a déclaré Wyden.
UnitedHealth n’a pas encore informé les personnes touchées par la cyberattaque, a déclaré Witty lors de l’audience, arguant que l’entreprise doit encore déterminer l’étendue du piratage et des informations volées. Pour l’instant, la société a seulement déclaré que les pirates informatiques avaient volé les données personnelles et médicales d’« une proportion substantielle de personnes en Amérique ».
Le mois dernier, UnitedHealth a déclaré avoir versé 22 millions de dollars aux pirates informatiques qui ont pénétré dans les systèmes de l’entreprise. Witty a confirmé ce paiement lors de l’audience du Sénat.