Archives quotidiennes :

cyberattaque, Entreprise

Cyberattaque chez Co-op : les révélations accablantes des pirates

Les pirates du groupe DragonForce affirment avoir volé les données de 20 millions de membres de la coopérative britannique Co-op, malgré les démentis initiaux de l’entreprise.

Alors que la cybersécurité est devenue un enjeu majeur pour les entreprises du monde entier, une nouvelle attaque d’envergure secoue le Royaume-Uni. Le géant britannique de la distribution, Co-op, a été victime d’un piratage informatique attribué au groupe DragonForce, un collectif notoire dans le milieu du rançongiciel. Ce dernier affirme avoir exfiltré d’importantes quantités de données sensibles, concernant à la fois des employés et des clients de l’entreprise. Malgré une communication initiale rassurante de la part de Co-op, les révélations faites à la BBC par les pirates eux-mêmes, accompagnées de preuves concrètes, jettent une lumière inquiétante sur l’ampleur réelle de la brèche.

DragonForce, connu pour ses opérations d’extorsion numérique, a contacté la BBC pour fournir des captures d’écran de son message initial envoyé au chef de la cybersécurité de Co-op. Ce message, daté du 25 avril, a été transmis via Microsoft Teams, une méthode de communication inhabituelle mais révélatrice du niveau d’infiltration atteint par le groupe. Dans un geste encore plus audacieux, les pirates ont ensuite tenté un appel direct au responsable de la sécurité de Co-op, cherchant vraisemblablement à forcer une négociation ou à démontrer leur contrôle sur les systèmes internes.

L’entreprise a dans un premier temps minimisé l’incident, déclarant qu’aucune donnée client ne semblait avoir été compromise. Mais quelques jours plus tard, face à l’accumulation de preuves, Co-op a dû reconnaître que des acteurs malveillants avaient bel et bien eu accès à des informations appartenant à des membres actuels et passés. Les pirates, quant à eux, affirment avoir mis la main sur les données de 20 millions de membres inscrits au programme de fidélité de Co-op — un chiffre que la société n’a pas confirmé, alimentant ainsi la confusion et les spéculations.

« Les pirates ont eu accès aux identifiants du personnel, à 10 000 dossiers clients, aux numéros de carte de membre, noms, adresses et coordonnées personnelles », rapporte la BBC.

Si l’on en croit les informations transmises par DragonForce, la portée de l’attaque dépasse de loin ce que l’on craignait. Les hackers disent avoir infiltré les équipes internes de l’entreprise, récupérant notamment les identifiants de connexion de plusieurs employés. Ils auraient aussi exfiltré au moins 10 000 dossiers clients contenant noms, adresses postales, adresses e-mail, numéros de téléphone et numéros de carte de membre Co-op. La BBC précise qu’elle a pu consulter un échantillon de ces données et qu’après vérification, celles-ci ont été détruites.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

Co-op a toutefois tenu à rassurer ses membres : selon un porte-parole, les informations volées n’incluraient ni les mots de passe, ni les coordonnées bancaires, ni les données de carte de crédit. Les informations relatives aux transactions ou aux services souscrits par les clients seraient également épargnées. Un soulagement relatif pour les consommateurs, mais qui ne dissipe pas l’inquiétude sur la gestion de la crise par l’entreprise.

Cette affaire relance le débat sur la transparence des entreprises victimes de cyberattaques. Car si Co-op a fini par admettre l’intrusion, son refus de confirmer l’ampleur exacte du vol de données alimente les doutes. Pour les experts en cybersécurité, cette stratégie de communication minimaliste est risquée. Elle nuit à la confiance des clients et pourrait exposer l’entreprise à des sanctions réglementaires, notamment dans le cadre du RGPD européen, qui impose des délais stricts et des obligations de notification en cas de fuite de données personnelles.

DragonForce, qui a également revendiqué une attaque récente contre M&S et affirmé avoir tenté de pirater Harrods, fonctionne selon un modèle bien rodé. Le groupe diffuse ses outils via un réseau d’affiliés, en échange d’un pourcentage sur les rançons obtenues. Cette approche de la cybercriminalité, qui rappelle les logiques de start-up, lui permet de multiplier les attaques tout en diversifiant ses cibles. Les experts estiment que le groupe est constitué majoritairement d’adolescents anglophones, animés à la fois par des motivations financières et une forme de défi idéologique envers les grandes entreprises.

Les canaux de communication utilisés par DragonForce, notamment Telegram et Discord, jouent un rôle central dans leur stratégie. Ils y diffusent les preuves de leurs attaques, publient des listes de victimes et parfois même des données volées, exerçant ainsi une pression publique sur les organisations ciblées. Cette tactique s’avère redoutablement efficace : l’exposition médiatique incite certaines entreprises à céder au chantage pour éviter que leurs informations confidentielles ne soient divulguées sur Internet.

La question de savoir si Co-op a reçu une demande de rançon demeure floue. L’entreprise ne s’est pas exprimée sur ce point, mais le message envoyé via Microsoft Teams laisse penser que les pirates cherchaient à ouvrir un canal de négociation. Refuser de répondre publiquement à cette question pourrait s’expliquer par le souhait de ne pas encourager d’autres attaques similaires, ou par la simple volonté de limiter les retombées médiatiques.

Au-delà du cas Co-op, cette cyberattaque illustre une évolution préoccupante du paysage numérique. Les cybercriminels n’hésitent plus à cibler des structures de grande envergure, à compromettre leurs systèmes internes et à se servir des médias pour amplifier leur pouvoir de nuisance. Dans un contexte où les données personnelles constituent un actif stratégique, les entreprises doivent redoubler de vigilance, investir dans des dispositifs de protection plus robustes et surtout adopter une posture de transparence active dès qu’une faille est détectée.

D’un point de vue juridique, le vol présumé de données de millions de clients pourrait entraîner des poursuites et des sanctions. Si le chiffre de 20 millions de personnes concernées venait à être confirmé, il s’agirait d’une des violations de données les plus importantes qu’ait connues le Royaume-Uni ces dernières années. À l’échelle européenne, les conséquences seraient tout aussi significatives, notamment en matière de régulation et de cybersécurité.

Dans ce climat tendu, les entreprises sont appelées à repenser leurs protocoles de réponse aux incidents, à renforcer la formation de leurs employés et à mettre en place des dispositifs de surveillance avancés. La collaboration avec les autorités judiciaires et les experts en cybersécurité devient également essentielle pour contenir les dégâts, identifier les auteurs et prévenir de nouvelles intrusions.

La cyberattaque contre Co-op agit donc comme un électrochoc. Elle met en lumière les failles d’un système encore trop vulnérable face à des pirates toujours plus organisés, inventifs et audacieux. Elle rappelle également aux consommateurs l’importance de la vigilance numérique : changer régulièrement ses mots de passe, surveiller ses relevés bancaires et être attentif aux communications inhabituelles sont devenus des gestes de prudence élémentaires.

Alors que les menaces numériques s’intensifient et que les groupes comme DragonForce gagnent en influence, une question essentielle demeure : comment les entreprises peuvent-elles regagner la confiance du public et garantir la sécurité de nos données dans un monde de plus en plus connecté ?

Harrods a confirmé une cyberattaque

Après des incidents similaires subis par M&S et Co-op, ce qui en fait le troisième grand détaillant britannique ciblé en quelques jours. Le grand magasin de luxe Harrods a confirmé la cyberattaque. « Nous avons récemment été confrontés à des tentatives d’accès non autorisé à certains de nos systèmes », a pu lire DataSecuritybreach.fr dans un communiqué publié par l’entreprise. « Notre équipe de sécurité informatique expérimentée a immédiatement pris des mesures proactives pour assurer la sécurité des systèmes et, par conséquent, nous avons restreint l’accès à Internet sur nos sites aujourd’hui.« 

En réponse à l’attaque, l’entreprise a « restreint l’accès à Internet sur ses sites« , mais le site de Harrods est resté en ligne. Harrods n’a pas fourni de détails techniques sur les attaques, et il n’est pas clair s’il a subi une violation de données.

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à notre newsletter.

backdoor, Cybersécurité, Patch

Une faille vieille de six ans compromet le commerce en ligne mondial

Un code malveillant enfoui depuis 2019 dans des extensions Magento vient d’être activé, affectant entre 500 et 1 000 boutiques en ligne, dont une entreprise pesant 40 milliards de dollars.

Depuis une semaine, la communauté de la cybersécurité est en alerte maximale. Une attaque sophistiquée de la chaîne d’approvisionnement, dissimulée depuis six ans dans des extensions Magento, a permis à des pirates de prendre le contrôle de centaines de boutiques en ligne. L’ampleur du piratage dépasse les frontières du simple incident technique : elle met en lumière les risques systémiques liés à l’économie numérique, notamment dans le secteur du commerce électronique. Selon le cabinet de cybersécurité Sansec, à l’origine de la découverte, des acteurs malveillants ont compromis des serveurs de téléchargement d’extensions utilisées par des centaines d’e-commerçants à travers le monde. Une faille dormante, activée seulement récemment, a permis une intrusion massive et coordonnée.

L’attaque, qui cible le cœur du fonctionnement des boutiques Magento, repose sur une technique redoutable : le piratage des extensions logicielles fournies par des développeurs tiers. Dans ce cas précis, 21 modules commercialisés ou distribués entre 2019 et 2022 ont été infectés par une porte dérobée, masquée dans une fausse vérification de licence. Cette dernière permet aux hackers de charger un fichier à distance, sans authentification pour les versions les plus anciennes, ou via une clé secrète dans les plus récentes. Grâce à cette faille, les attaquants pouvaient injecter du code arbitraire dans les serveurs des e-commerçants et potentiellement accéder aux données des clients, aux informations de paiement ou encore aux paramètres de configuration sensibles.

Les fournisseurs impliqués sont trois noms bien connus de l’écosystème Magento : Tigren, Meetanshi et Magesolution (MGS). Tous trois proposent depuis plusieurs années des modules d’optimisation pour les boutiques en ligne : ajouts au panier plus fluides, gestion des cookies, localisation des magasins ou encore intégration avec les réseaux sociaux. Autant d’outils précieux pour les commerçants, mais qui se sont révélés être, dans ce cas précis, des chevaux de Troie. Les backdoors ont été identifiées dans des extensions telles que Ajaxsuite, RGPD, Lookbook, ou encore Facebook Chat, avec une même signature : un fichier License.php ou LicenseApi.php détourné de sa fonction initiale.

« Une multinationale pesant 40 milliards de dollars est parmi les victimes« 

Le scénario découvert est d’autant plus inquiétant que la compromission initiale remonte à plusieurs années. Le code malveillant aurait été injecté dès 2019, voire plus tôt, mais n’a été activé qu’en avril 2025. Cette stratégie dite de « dormance » est particulièrement redoutée en cybersécurité : elle permet à l’attaquant de rester invisible pendant des années, jusqu’au jour où il décide d’agir. Le fait que l’abus réel n’ait commencé qu’en avril interroge les experts : s’agissait-il d’une phase de test, ou d’une attaque mûrement planifiée pour coïncider avec une période stratégique, comme la saison des ventes en ligne ? Les implications sont majeures.

La réaction des fournisseurs concernés jette une lumière crue sur la difficulté de gérer de telles crises. Tigren nie avoir été piraté, malgré les preuves techniques et le maintien en ligne de ses extensions compromises. Meetanshi, plus transparent, admet que son serveur a bien été compromis, sans pour autant reconnaître d’altération de ses packages. Quant à Magesolution, il n’avait toujours pas répondu aux sollicitations lors de l’écriture de l’article de DataSecurityBreach.fr. Un silence qui interroge, alors même que ses modules restent disponibles au téléchargement, porte dérobée incluse.

L’analyse révèle que chaque backdoor possède un nom, un chemin et une somme de contrôle uniques. Cela suggère une attaque particulièrement sophistiquée, menée avec minutie pour éviter toute détection automatisée. Cette personnalisation complique le travail des systèmes antivirus et des scanners de sécurité, qui peinent à identifier une menace qui ne se répète pas à l’identique. De plus, les hackers ont utilisé un fichier appelé registration.php pour activer la fausse vérification de licence, une méthode subtile permettant de ne pas éveiller les soupçons des développeurs ou des administrateurs de sites.

« Il est rare qu’une porte dérobée reste indétectée pendant six ans, mais il est encore plus étrange que les abus réels ne commencent que maintenant »

D’un point de vue technique, la faille repose sur une fonction appelée « adminLoadLicense », qui exécute en PHP le contenu d’une variable contrôlée par l’attaquant : $licenseFile. C’est cette porte d’entrée qui permet l’exécution de code à distance. Dans les versions anciennes des extensions, aucune authentification n’était requise pour charger un fichier, ce qui rendait l’attaque encore plus facile à mener. Les versions plus récentes imposent une clé secrète, mais celle-ci a manifestement été compromise, ou générée de manière prévisible.

Au-delà de l’aspect technique, cette attaque soulève des questions majeures sur la sécurité des chaînes d’approvisionnement logicielles. Dans un monde numérique où la majorité des entreprises s’appuient sur des composants tiers pour bâtir leurs infrastructures, la confiance dans les fournisseurs devient un enjeu vital. Lorsque cette confiance est trahie, les conséquences sont catastrophiques. Dans ce cas, non seulement les commerçants ont été exposés, mais également les consommateurs, dont les données personnelles et financières ont pu être compromises.

Le modèle économique des extensions Magento accentue ce risque. Bon nombre de ces modules sont gratuits ou à faible coût, développés par des petites entreprises ou des indépendants qui n’ont pas les moyens de mettre en place des processus de sécurité avancés. Et même lorsque des vérifications existent, elles se concentrent souvent sur les fonctionnalités visibles, non sur des fichiers apparemment anodins comme License.php. Cette attaque démontre qu’il est désormais impératif d’intégrer des audits de sécurité profonds, même pour les composants considérés comme mineurs.

À l’échelle globale, cette faille pourrait entraîner un regain de méfiance envers les plateformes open source comme Magento. Pourtant, le problème ne vient pas de la plateforme elle-même, mais de l’écosystème de modules tiers non suffisamment contrôlés. Des géants comme Adobe, propriétaire de Magento, devront sans doute revoir leurs processus de validation et encourager les utilisateurs à auditer les packages avant toute installation. La multiplication des attaques de ce type, SolarWinds, Log4j, et maintenant Magento, montre que la chaîne d’approvisionnement numérique est devenue le nouveau front du cybercrime.

Les conséquences économiques exactes de l’attaque restent à évaluer. Si une multinationale de 40 milliards de dollars est impliquée, les pertes potentielles pourraient se chiffrer en millions d’euros. Outre l’atteinte à la réputation, il faudra aussi compter avec les frais de mise à jour des systèmes, les audits de sécurité, les signalements aux régulateurs et, possiblement, des plaintes de clients. Le RGPD prévoit en effet des sanctions sévères en cas de fuite de données due à une négligence dans la chaîne de traitement.

Dans l’immédiat, il est recommandé aux commerçants en ligne utilisant les extensions concernées de les supprimer sans délai, de scanner leurs serveurs à la recherche de fichiers suspects et d’auditer les accès réseau. Il est également conseillé de mettre en place un suivi automatisé de l’intégrité des fichiers, pour détecter rapidement toute modification suspecte.

Cette attaque soulève une inquiétude légitime : combien d’autres portes dérobées dorment encore dans nos infrastructures numériques ?

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à notre newsletter.

Cyber-attaque, Cybersécurité, Piratage

Ukraine assiégée : l’autre front de la cyberguerre contre la Russie

Les cyberattaques contre l’Ukraine ont bondi de 48 % au second semestre 2024, mais derrière cette hausse se cache une guerre numérique où sabotage, désinformation et ciblage militaire redéfinissent les règles de la cybersécurité.

Depuis 2022, l’Ukraine ne mène pas seulement une guerre sur le terrain : elle affronte une guerre numérique sans précédent. Les cyberattaques, longtemps considérées comme un théâtre secondaire du conflit russo-ukrainien, se révèlent aujourd’hui être un front central, intégré aux opérations militaires et stratégiques. Le dernier rapport du CERT-UA, le centre ukrainien d’intervention d’urgence informatique, dresse un tableau inquiétant pour le second semestre 2024 : une augmentation vertigineuse du nombre d’incidents, des tactiques russes de plus en plus sophistiquées, et une perméabilité croissante entre les attaques numériques et les actions militaires sur le terrain. La cyberguerre n’est plus une menace en ligne : c’est une guerre totale, hybridée, aux conséquences bien réelles pour l’État et ses citoyens.

Une explosion des incidents, une baisse trompeuse de leur gravité apparente

Derrière les chiffres du dernier rapport du CERT-UA se dessine une mutation profonde des modes opératoires. Durant la seconde moitié de 2024, l’Ukraine a enregistré 2 576 incidents de cybersécurité, soit une hausse de 48 % par rapport au semestre précédent. Un pic qui, à première vue, pourrait suggérer une intensification brute des offensives. Pourtant, dans un paradoxe apparent, les incidents jugés critiques ou de haute sévérité ont chuté de 77 %. Ce recul ne traduit pas une accalmie, mais un changement de méthode. Les attaques ne sont pas moins dangereuses, elles sont simplement plus furtives. Mieux dissimulées, elles échappent aux radars classiques, brouillant les seuils de détection.

Les campagnes de diffusion de malwares ont doublé (+112 %), avec une industrialisation inquiétante du phishing. L’utilisation de plateformes légitimes comme Google Drive ou GitHub pour héberger des malwares marque un tournant : les attaquants se greffent sur des infrastructures de confiance pour franchir les défenses les plus robustes. En parallèle, les actions menées contre le réseau électrique ukrainien montrent une synergie inédite entre le cyber et le cinétique. Désormais, une attaque numérique peut précéder un tir de missile, dans un ballet destructeur où chaque faille informatique devient une brèche stratégique.

Les attaques cyber précèdent désormais les frappes de missiles, selon le CERT-UA, soulignant la fusion entre guerre numérique et militaire.

L’armée comme champ de bataille numérique

Le monde militaire, longtemps perçu comme un bastion sécurisé, devient aujourd’hui une cible prioritaire — et un terrain d’affrontement numérique. Le rapport du CERT-UA révèle que plusieurs outils malveillants, dont les implants FIRMACHAGENT et le malware historique SPECTR, ont été déployés pour infiltrer les communications militaires, intercepter des données GPS ou dérober des identifiants d’applications de messagerie comme Signal.

Les groupes d’attaque russes identifiés sous les appellations UAC-0020 (Vermin) ou UAC-0180 ont multiplié les campagnes contre les systèmes de partage de fichiers, les dispositifs de surveillance ou les communications tactiques. Dans un cas documenté, des malwares ont été diffusés sous la forme d’applications Android militaires factices, clones de logiciels authentiques, mais dotés de fonctionnalités d’espionnage poussées. Ces applications malveillantes, souvent partagées via Signal, injectaient du code Java malicieux et prenaient le contrôle des téléphones infectés. Il ne s’agissait plus seulement d’espionner, mais bien d’altérer le cours d’opérations sur le terrain.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

L’infrastructure civile, nouvelle cible stratégique

Les cyberattaques ne visent plus seulement les militaires : elles frappent aussi les civils au cœur de leur quotidien. En décembre 2024, le piratage des registres étatiques du ministère de la Justice ukrainien a provoqué une paralysie brutale : passeports bloqués, transactions immobilières suspendues, franchissements de frontières interrompus. Au-delà des désagréments administratifs, cet épisode a illustré avec force que les infrastructures numériques civiles sont devenues des instruments de guerre.

Cette nouvelle réalité modifie l’équation stratégique. Un serveur compromis peut désormais équivaloir à une route détruite ou à une centrale visée. Chaque attaque contre des services publics, des systèmes de santé ou des bases de données démographiques devient une manière de miner la résilience de l’État ukrainien — non plus par la violence, mais par la paralysie numérique.

Chaînes d’approvisionnement : la nouvelle porte d’entrée

Face au durcissement des systèmes critiques, les groupes de pirates changent de stratégie : ils s’attaquent aux maillons faibles, souvent négligés. Les prestataires, sous-traitants ou éditeurs de logiciels tiers deviennent les nouvelles cibles. CERT-UA souligne que plusieurs campagnes d’intrusion sont passées par des failles dans des outils comme GeoServer (CVE-2024-36401) ou WinRAR (CVE-2023-38831), infiltrant les organisations par des dépendances compromises.

Ce déplacement vers les chaînes d’approvisionnement n’est pas sans rappeler l’affaire SolarWinds, mais dans une version localisée, plus discrète et persistante. En exploitant la confiance accordée à certains fournisseurs, les attaquants parviennent à contourner les barrières de sécurité les plus robustes, instaurant une vulnérabilité systémique difficile à colmater.

Les intrusions par la chaîne d’approvisionnement deviennent la norme : un modèle d’attaque silencieuse mais redoutablement efficace.

Des groupes connus, mais toujours plus innovants

Les visages de la cyberguerre ne changent pas, mais leurs méthodes, oui. Des groupes comme UAC-0001 (plus connu sous le nom d’APT28) ou UAC-0050 ont modernisé leurs arsenaux. Finies les vieilles macros en Visual Basic. Place aux QR-codes piégés, aux faux CAPTCHAs et aux fichiers d’archives infectés. L’objectif reste le même : exfiltrer des données, compromettre des comptes, désorganiser les communications. Mais les moyens sont désormais calibrés au millimètre, ciblés, déguisés et adaptés à chaque profil.

Derrière ces attaques se cache un travail d’ingénierie sociale aussi poussé que leur codage. Les campagnes de spear phishing — très ciblées — exploitent la psychologie humaine autant que les vulnérabilités logicielles. Une simple invitation à une conférence peut se révéler être un cheval de Troie redoutable, délivrant un script PowerShell à l’insu de l’utilisateur.

Malgré les difficultés, les défenses ukrainiennes s’organisent. Le CERT-UA, avec l’appui d’alliés internationaux, déploie des réseaux de capteurs, des plateformes d’analyse comportementale et des outils de cartographie des menaces. Certaines attaques sont stoppées avant leur exécution complète — des « quasi-incidents » grâce à une meilleure anticipation.

Mais l’ampleur du défi reste vertigineuse. Les cybercriminels exploitent désormais des failles zéro-day dans les 12 à 24 heures suivant leur divulgation. Dans ce contexte, chaque retard de mise à jour peut ouvrir une brèche irréparable. Seule une stratégie proactive, axée sur la chasse aux menaces et le partage d’informations, peut offrir une chance de garder une longueur d’avance.

Guerre psychologique : la frontière invisible

Si les logiciels malveillants captent l’attention, l’autre volet de cette guerre est silencieux, insidieux : celui de la désinformation et de l’ingénierie sociale. Les opérations d’influence psychologique (IPSO), pilier de la stratégie russe, cherchent à semer le doute, la peur et la méfiance parmi la population. Même un piratage raté peut suffire à provoquer une panique ou à éroder la confiance dans les institutions.

Des campagnes de phishing ciblent directement les citoyens via Signal ou WhatsApp. Les données volées ne servent pas qu’à l’espionnage : elles alimentent des récits falsifiés, sont manipulées dans des campagnes de désinformation, et servent à intoxiquer le débat public.

La guerre en Ukraine montre que la cybersécurité ne peut plus être cantonnée à des pare-feu ou à des antivirus. Elle doit désormais intégrer des considérations géopolitiques, sociales et militaires. La cyberguerre ne se joue pas seulement sur des claviers, mais dans les centrales électriques, les casernes, les hôpitaux, et jusque dans la poche des citoyens.

À l’heure où la Russie perfectionne ses tactiques hybrides, la question n’est plus de savoir si les attaques vont continuer, mais si les défenseurs réussiront à évoluer plus vite que leurs adversaires. Cette course contre la montre est-elle tenable sur le long terme ?

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à notre newsletter.

Cybersécurité, Entreprise, santé, Vie privée

Des patients abandonnés dans le flou après une cyberattaque

Presque un an après la fuite massive de données médicales au Royaume-Uni, des centaines de milliers de patients restent sans réponse sur la nature des informations exposées par les cybercriminels.

Le 3 juin 2024, une cyberattaque d’une ampleur inédite frappait Synnovis, prestataire majeur de services de pathologie pour le National Health Service (NHS) à Londres. Derrière cette opération, le groupe de ransomware Qilin, connu pour ses tactiques de chantage numérique, avait réussi à infiltrer les systèmes du laboratoire et à s’emparer de données médicales critiques. Près d’un an plus tard, le silence qui entoure encore l’incident révolte les experts et inquiète les patients. Car malgré l’ampleur de la fuite, potentiellement plus de 900 000 personnes concernées, une majorité d’entre elles n’a toujours reçu aucune notification. Et certaines informations, comme des diagnostics de cancer ou d’infections sexuellement transmissibles, ont déjà été publiées sur le dark web.

Un silence inquiétant

Le scénario est digne d’un thriller numérique, mais il est bien réel. L’attaque, qui a paralysé une partie des activités de diagnostic sanguin dans les hôpitaux londoniens, a mis en lumière une vulnérabilité structurelle dans la gestion informatique du système de santé britannique. Si, dès les premières heures de la crise, l’urgence était d’ordre logistique, assurer les transfusions malgré la perte des systèmes de compatibilité sanguine, la question de la protection des données personnelles a rapidement émergé comme une problématique tout aussi cruciale.

Synnovis, à l’époque, avait indiqué avoir immédiatement lancé une procédure d’eDiscovery, un processus numérique d’analyse de contenu destiné à identifier les fichiers compromis et les personnes concernées. En septembre, soit trois mois après l’attaque, l’entreprise annonçait que le processus était « avancé« . Pourtant, au mois de mai suivant, aucun patient n’a été officiellement averti que ses données avaient été exposées.

Selon les résultats d’une analyse indépendante menée par la société CaseMatrix, spécialiste des violations de données, les documents volés contiennent des informations personnelles particulièrement sensibles. Il ne s’agit pas seulement de noms, de dates de naissance ou de numéros NHS. Des rapports médicaux, des formulaires de pathologie et d’histologie, qui détaillent les symptômes, les antécédents et les suspicions de maladies graves, font partie de la fuite.

« Les formulaires incluent des descriptions explicites de diagnostics liés à des cancers, des IST ou d’autres affections graves. Ces informations ont été publiées sur des forums accessibles aux cybercriminels« , alerte un analyste de CaseMatrix.

Le caractère profondément intime de ces données fait peser un risque évident sur les libertés individuelles, notamment en cas d’usurpation d’identité ou de stigmatisation. Pourtant, le droit britannique en matière de protection des données, notamment encadré par le Règlement général sur la protection des données (RGPD) et ses déclinaisons nationales, est sans équivoque : les personnes dont les données sensibles ont été compromises doivent être informées « dans les plus brefs délais« , dès lors que la fuite présente un risque élevé pour leurs droits.

Des responsabilités diluées

Face à la pression médiatique et politique, Synnovis a maintenu une ligne défensive prudente. Dans ses rares déclarations, la société insiste sur la complexité de l’analyse des données volées et sur la nécessité de « confirmer avec certitude » les personnes concernées avant d’émettre toute notification. Mais cette prudence se heurte à l’impatience croissante des organisations partenaires et à l’incompréhension des patients.

Les NHS Trusts qui collaborent avec Synnovis, notamment Guy’s and St Thomas’ et King’s College Hospital, affirment qu’ils n’ont reçu aucune information concrète sur les fichiers les concernant. « Nous sommes toujours en attente des résultats du processus de découverte électronique« , explique l’un de leurs porte-parole, renvoyant systématiquement la responsabilité vers le prestataire de laboratoire.

Cette posture en cascade, où chacun renvoie la balle à l’autre, a pour effet direct une opacité préjudiciable pour les personnes concernées. Pour le régulateur britannique, l’Information Commissioner’s Office (ICO), il ne s’agit pas d’un simple retard administratif. Le non-respect de l’obligation d’information pourrait justifier des sanctions, notamment si la lenteur du processus d’analyse n’est pas jugée proportionnelle à la gravité de l’incident.

« Lorsqu’une violation entraîne la fuite de données médicales, les individus doivent être avertis sans attendre s’ils courent un risque important. Il en va de leur droit à la vie privée et à la sécurité », rappelle une directive de l’ICO.

Une crise sanitaire doublée d’une crise de confiance

La cyberattaque n’a pas seulement mis à mal la sécurité des données. Elle a également perturbé gravement les activités médicales quotidiennes du NHS. En juin et juillet 2024, plusieurs hôpitaux londoniens ont dû reporter des interventions chirurgicales en raison du manque de résultats de laboratoire disponibles. Le service de transfusion sanguine a dû, dans certains cas, recourir à des donneurs universels faute de pouvoir vérifier les groupes sanguins spécifiques. Cette gestion dans l’urgence a démontré à quel point l’écosystème médical dépend de ses infrastructures numériques.

Mais si la réponse opérationnelle semble avoir été progressivement restaurée, Synnovis affirme que ses systèmes critiques ont été reconstruits dès septembre, la question de la confiance dans les institutions médicales demeure. Le manque de communication proactive, le délai dans l’identification des victimes et l’absence d’accompagnement psychologique ou juridique renvoient à une crise éthique.

De nombreux patients, ayant appris l’existence de la fuite via les médias ou des forums spécialisés, vivent aujourd’hui dans l’angoisse. Certains craignent que des informations gênantes sur leur santé puissent être utilisées à des fins malveillantes. D’autres dénoncent un double standard : « Si c’étaient des données bancaires, tout le monde aurait été alerté en 48 heures« , déplore une patiente interrogée anonymement.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

Le coût humain de la cybersécurité négligée

Il est encore difficile d’estimer le coût total de la cyberattaque. Les pertes financières pour Synnovis n’ont pas été rendues publiques, mais les coûts liés à la restauration des systèmes, aux audits de sécurité et aux potentielles poursuites judiciaires pourraient atteindre plusieurs millions de livres. À cela s’ajoutent les dommages d’image, ainsi qu’un éventuel encadrement réglementaire plus strict de la part des autorités sanitaires britanniques.

Mais au-delà des aspects économiques, c’est le coût humain de cette négligence numérique qui soulève des inquiétudes. La santé, domaine parmi les plus sensibles en matière de données personnelles, reste une cible privilégiée des cybercriminels. Dans un monde où les dossiers médicaux sont de plus en plus numérisés, l’attaque contre Synnovis agit comme un signal d’alarme.

Les experts en cybersécurité soulignent la nécessité de revoir en profondeur les protocoles de protection et de réaction des établissements de santé. Former le personnel, renforcer les pare-feu, crypter les données à plusieurs niveaux : les solutions existent, mais nécessitent des investissements souvent repoussés.

Une alerte mondiale

L’incident Synnovis dépasse les frontières britanniques. Il s’inscrit dans une tendance mondiale préoccupante : l’explosion des cyberattaques contre les hôpitaux, cliniques et laboratoires. En 2023, des établissements en France, en Allemagne et aux États-Unis ont été pris pour cible, souvent avec des méthodes similaires de rançongiciel. Et les motivations des pirates vont bien au-delà du simple gain financier : les données de santé, revendues sur le dark web, valent plus cher que les numéros de cartes bancaires.

Alors que Synnovis affirme aujourd’hui que son processus d’analyse est « presque terminé » et qu’il prépare les notifications aux patients et aux organisations concernées, beaucoup s’interrogent : pourquoi tant de lenteur ? Et surtout, comment éviter que de tels scandales ne se reproduisent ?

« Dans un secteur aussi sensible, l’opacité n’est pas une option. Il faut restaurer la confiance, non seulement par des mots, mais par des actes« , souligne un avocat spécialisé en droit du numérique.

Quelle responsabilité collective face aux cybermenaces ?

La cyberattaque contre Synnovis met en lumière un paradoxe majeur : à mesure que la médecine progresse grâce au numérique, elle devient aussi plus vulnérable. Comment garantir la confidentialité et la sécurité des données médicales dans un système de santé soumis à des tensions budgétaires et à des transformations rapides ? Et quelle part de responsabilité incombe aux prestataires privés, aux autorités sanitaires et aux patients eux-mêmes dans cette nouvelle donne numérique ?

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à notre newsletter.