L'attaque par rançongiciel qui a englouti le géant américain de l'assurance santé UnitedHealth Group et sa filiale technologique Change Healthcare est un cauchemar pour la vie privée des données de millions de patients américains, le PDG Andrew Witty confirmant cette semaine qu'elle pourrait toucher jusqu'à un tiers du pays.

Mais cela devrait également servir de signal d'alarme pour les pays du monde entier, y compris le Royaume-Uni où UnitedHealth exerce désormais ses activités via l'acquisition récente d'une entreprise qui gère les données appartenant à des millions de patients du NHS (National Health Service).

En tant que l'une des plus grandes entreprises de santé aux États-Unis, UnitedHealth est bien connue sur le plan national, interagissant avec tous les aspects de l'industrie de la santé, de l'assurance et de la facturation jusqu'au réseau de médecins et de pharmacies - c'est un colosse de 500 milliards de dollars, et la 11e plus grande entreprise au niveau mondial en termes de revenus. Mais au Royaume-Uni, UnitedHealth est pratiquement inconnue, principalement parce qu'elle n'a pas eu beaucoup d'activités de l'autre côté de l'étang - jusqu'à il y a six mois.

Après un processus réglementaire de 16 mois se terminant en octobre, la filiale britannique Optum UK de UnitedHealth, via une filiale appelée Bordeaux UK Holdings II Limited, a enfin pris possession de EMIS Health dans une transaction de 1,5 milliard de dollars. EMIS Health fournit des logiciels qui connectent les médecins aux patients, leur permettant de prendre rendez-vous, de commander des ordonnances renouvelables et plus encore. L'un de ces services est Patient Access, qui revendique environ 17 millions d'utilisateurs enregistrés qui ont collectivement pris 1,4 million de rendez-vous chez le médecin de famille via l'application l'année dernière et ont passé plus de 19 millions de commandes d'ordonnances renouvelables.

Il n'y a rien qui suggère que les données des patients britanniques soient en danger ici - ce sont des filiales différentes, avec des configurations différentes, relevant de juridictions différentes. Mais lors de son témoignage devant le Sénat mercredi, Witty a attribué le piratage au fait qu'après l'acquisition de Change Healthcare par UnitedHealth en 2022, elle n'avait pas mis à jour ses systèmes - et dans ces systèmes se trouvait un serveur sans authentification multi-facteurs (AMF) activée.

Nous savons que les pirates ont volé des données de santé en utilisant des "identifiants compromis" pour accéder à un portail Citrix de Change Healthcare qui était destiné aux employés pour accéder à distance aux réseaux internes. Incroyablement, Witty a déclaré que l'entreprise travaillait toujours à comprendre pourquoi l'AMF n'était pas activée, deux mois après l'attaque. Cela n'inspire pas beaucoup de confiance pour les professionnels de la santé et les patients britanniques utilisant EMIS Health sous l'égide de ses nouveaux propriétaires.

Ce n'est pas un cas isolé.

Cette semaine également, le pirate informatique de 25 ans Aleksanteri Kivimäki a été condamné à plus de six ans de prison pour avoir infiltré une entreprise appelée Vastaamo en 2020, volant des données médicales appartenant à des milliers de patients finlandais et essayant d'extorquer et de faire chanter à la fois l'entreprise et les patients concernés.

Que les attaques de rançongiciel s'avèrent réussies ou non, elles sont finalement lucratives - les paiements aux auteurs ont doublé pour dépasser 1 milliard de dollars en 2023, une année record à bien des égards. Lors de son témoignage, Witty a confirmé les rapports précédents selon lesquels UnitedHealth avait versé une rançon de 22 millions de dollars à ses pirates.

Pourquoi les gangs de rançongiciel gagnent-ils autant d'argent ?

Les données de santé, une marchandise précieuse

Mais la principale leçon à tirer de tout cela est que les données personnelles - en particulier les données de santé - sont une énorme marchandise mondiale, et elles devraient être protégées en conséquence. Cependant, nous continuons de voir une hygiène de la cybersécurité incroyablement médiocre, ce qui devrait préoccuper tout le monde.

Comme TechCrunch l'a écrit il y a quelques mois, il devient de plus en plus difficile d'accéder même à la forme la plus élémentaire de soins de santé sur le NHS financé par l'État sans accepter de donner aux entreprises privées accès à vos données - que ce soit une multinationale valant des milliards de dollars, ou une start-up financée par des capitaux-risque.

Il peut y avoir des raisons opérationnelles et pratiques légitimes pour lesquelles travailler avec le secteur privé a du sens, mais la réalité est que de telles partenariats augmentent la surface d'attaque que les mauvais acteurs peuvent cibler - quelle que soit les obligations, les politiques et les promesses qu'une entreprise pourrait avoir en place.

Vous voulez consulter un médecin du NHS ? Préparez-vous à fournir vos données d'abord.

De nombreuses cliniques de médecins de famille du Royaume-Uni exigent désormais que les patients utilisent des logiciels de triage tiers pour prendre rendez-vous, et à moins de passer au peigne fin les petits caractères des politiques de confidentialité, il n'est souvent pas clair avec qui le patient fait réellement affaire.

En creusant dans la politique de confidentialité d'un prestataire de services de triage appelé Patchs Health, qui dit soutenir plus de 10 millions de patients à travers le NHS, on découvre qu'il n'est en réalité que le "sous-traitant" des données responsable du développement et de la maintenance du logiciel. Le principal processeur de données contracté pour fournir le service est en fait une société soutenue par des fonds d'investissement privés appelée Advanced, qui a été victime d'une attaque de ransomware il y a deux ans, forçant les services du NHS à être hors ligne. Tout comme l'attaque de UnitedHealth, des identifiants légitimes ont été utilisés pour accéder à un serveur Citrix.

Vous n'avez pas à plisser les yeux pour voir les parallèles entre ce qui s'est passé avec UnitedHealth et ce qui pourrait se produire au Royaume-Uni avec les innombrables entreprises privées concluant des partenariats avec le NHS.

La Finlande sert également de rappel prévoyant alors que le NHS s'enfonce plus profondément dans le domaine privé. Surnommée l'un des plus grands crimes jamais commis dans le pays, la violation des données de Vastaamo est survenue après qu'une entreprise de psychothérapie privée désormais défunte a été sous-traitante du système de santé public de la Finlande. Aleksanteri Kivimäki a infiltré une base de données insécurisée de Vastaamo, et après que Vastaamo a refusé de payer une rançon en Bitcoin de 450000 €, Kivimäki a tenté de faire chanter des milliers de patients, menaçant de divulguer des notes thérapeutiques intimes.

L'enquête qui a suivi a révélé que Vastaamo avait des processus de sécurité totalement inadéquats en place. Sa base de données patient était exposée à Internet, incluant des données sensibles non cryptées telles que des coordonnées, des numéros de sécurité sociale et des notes de thérapeutes. Le médiateur finlandais de la protection des données a noté que la cause la plus probable de la violation était un "port MySQL non protégé dans la base de données", où le compte utilisateur root n'était pas protégé par mot de passe. Ce compte permettait un accès illimité à la base de données depuis n'importe quelle adresse IP, et le serveur n'avait pas de pare-feu en place.

Au Royaume-Uni, de sérieuses préoccupations ont été exprimées concernant la manière dont le NHS ouvre l'accès aux données. Le partenariat le plus médiatisé est survenu l'année dernière, lorsque la société d'analyse de données big data soutenue par Peter Thiel, Palantir, s'est vu attribuer d'importants contrats par le NHS England pour l'aider à passer à une nouvelle plateforme de données fédérées (FDP) - au grand dam des médecins et des défenseurs de la vie privée des données à travers le pays.

Tout cela semble quelque peu inévitable cependant. Les défenseurs de la vie privée crient et hurlent, mais les grandes entreprises avec beaucoup d'argent continuent d'obtenir les clés d'accès à des données sensibles appartenant à des millions de personnes. Des promesses sont faites, des assurances données, des processus mis en place - puis quelqu'un oublie de mettre en place une AMF de base, ou laisse une clé de chiffrement sous le paillasson, et tout explose.

Rincer et répéter.