La compagnie d’assurance australienne Medibank, victime d’une cyberattaque. Photo : Médiabank.
Par l’intermédiaire de son PDG David Koczkar, Medibank, le plus grand assureur maladie d’Australie, a révélé l’étendue de la cyberattaque initialement signalée au début du mois. Un communiqué publié le mercredi 26 octobre 2022 mentionne désormais le nombre de 4 millions de clients concernés : l’ensemble du portefeuille de Medibank. « Notre enquête a maintenant établi que ce criminel a accédé aux données personnelles de tous nos clients de l’assurance maladie privée et à des quantités importantes de données sur leurs réclamations de santé », a déclaré le directeur général de Medibank, David Koczkar. « Je m’excuse sans réserve auprès de nos clients. C’est un crime horrible – c’est un crime conçu pour infliger un maximum de tort aux membres les plus vulnérables de notre communauté.
Medibank victime d’une cyberattaque de l’ensemble de son portefeuille client
Les données piratées concernent des informations personnelles telles que le nom, l’adresse, la date de naissance, certains numéros de carte Medicare (équivalent à une carte Vitale) et le sexe. Les données de santé incluent les codes de demande effectués par les utilisateurs.
Outre les 4 millions de clients actuels de l’assurance touchés par la cyberattaque, d’anciens clients ont également été touchés. En effet, les lois fédérales imposent à Medibank de conserver ses données pendant 7 ans.
Selon Medibank, le piratage aurait dû coûter à l’entreprise au moins entre 25 et 35 millions de dollars. Une somme modique, qui s’explique par le fait que l’assureur n’a pas souscrit d’assurance contre les cyberattaques. Ce coût estimé n’inclut pas l’indemnisation des clients ni les frais réglementaires ou juridiques qui pourraient être encourus à l’encontre de l’entreprise.
L’enquête est en cours, car malgré les chiffres présentés, l’ampleur du piratage n’a pas encore été enrayée. En effet, Medibank ne peut toujours pas dire avec certitude combien ou quels clients ont été touchés, mis à part les 1 000 fichiers que le pirate informatique a fournis à l’assureur au cours des deux dernières semaines. Grâce à cette communication avec le pirate informatique, Medibank a pu déterminer l’étendue de la violation jusqu’à présent. La compagnie d’assurance australienne est en communication avec le pirate – qui a obtenu les informations d’identification de Medibank volées par un autre pirate sur un forum cybercriminel russe – mais la société a refusé de dire si elle paierait des demandes de rançon. L’assureur a voulu reconfirmer que ses systèmes informatiques n’ont pas été chiffrés par des rançongiciels à ce jour et qu’il continuera à surveiller toute autre activité suspecte.
Le pays victime de cyberattaques d’ampleurs, le gouvernement réagit
L’Australie a déjà fait les gros titres récemment en raison de l’histoire de piratage à travers le pays. Il y a un mois, 10 millions de clients australiens ont été piratés. L’une des plus grandes entreprises de télécommunications du pays a été touchée par une cyberattaque : Optus. Vol massif d’informations personnelles, y compris les dates de naissance, les numéros de téléphone, les adresses e-mail, ainsi que les numéros de passeport et de permis de conduire.
La cyberattaque du mois dernier a été qualifiée de plus grand piratage que le pays ait jamais subi. Malheureusement, cela a sans aucun doute ouvert la voie au piratage de Medibank. « Lorsque vous avez une brèche très visible comme Optus en Australie, les pirates le remarquent et disent » peut-être que je vais creuser là-dedans et voir ce que je peux en tirer « », a déclaré Jeremy Kirk, rédacteur en chef du Information Security Media Group, un publication sur la cybersécurité.
Deux cyberattaques en 2 mois, le gouvernement fédéral australien réagit rapidement en activant différents leviers. Avant même ces attentats, elle s’était déjà positionnée sur le volet éducatif l’an dernier, en introduisant la cybersécurité dans le cursus scolaire des enfants de 5 à 16 ans.
Avec le piratage des données médicales, le gouvernement s’est à nouveau posé la question. « Il s’agit d’informations sur la santé, et sa publication pourrait causer un préjudice énorme aux Australiens. C’est pourquoi nous sommes si impliqués dans cette affaire », a déclaré la ministre de la Cybersécurité, Clare O’Neill, à l’Australian Broadcasting Corp.
En réponse, des textes de loi sont en cours d’élaboration pour infliger des amendes aux entreprises victimes de piratage de données personnelles. Après la cyberattaque contre Optus, le gouvernement a également réagi rapidement en modifiant ses lois pour autoriser les opérateurs télécoms à partager les pièces d’identité de leurs clients avec les banques.