Accueil / Cybersécurité / Securite informatique / Aflac : 22,7 millions de personnes touchées après la fuite de juin

Aflac : 22,7 millions de personnes touchées après la fuite de juin

Par
6 Mins Read
2 janvier 2026

Sommaire de l'article

En juin, une intrusion informatique chez Aflac a exposé des données sensibles à grande échelle. L’assureur dit avoir stoppé l’attaque en quelques heures, mais confirme un vol de fichiers concernant 22,7 millions d’individus.

Le groupe d’assurance basé en Géorgie confirme qu’une cyberattaque survenue en juin a entraîné le vol d’informations personnelles concernant environ 22,7 millions de personnes, dont plus de 2 millions au Texas. Aflac affirme avoir contenu l’intrusion « en quelques heures » et ne pas avoir subi de rançongiciel, tout en reconnaissant que des documents ont été exfiltrés. Les fichiers dérobés portent sur des demandes d’indemnisation, des données de santé, des numéros de Sécurité sociale et d’autres éléments identifiants, touchant clients, bénéficiaires, salariés, agents et autres personnes liées aux activités américaines. L’enquête s’est achevée le 4 décembre, sept mois aprés la cyber attaque !

Ce que l’enquête interne révèle, et ce qu’elle ne dit pas

Aflac a publié une déclaration marquant la fin d’une enquête ouverte après l’incident annoncé plus tôt dans l’année. Le récit officiel suit une ligne claire : détection rapide, arrêt de l’intrusion « dans les heures », continuité des opérations, puis confirmation d’un vol de données. Autrement dit, la disponibilité des systèmes n’a pas vacillé, mais la confidentialité, elle, a cédé. Pour un assureur, c’est souvent le scénario le plus redouté : la machine continue de tourner, tandis que la fuite, silencieuse, produit ses effets longtemps après.

L’entreprise avait déjà alerté la Securities Exchange Commission (SEC) sur un point central : malgré l’endiguement, certains fichiers ont été emportés par les cybercriminels. Dans sa nouvelle communication, Aflac insiste sur l’absence de rançongiciel. Cette précision compte, parce qu’elle déplace la lecture du risque. Sans chiffrement généralisé ni extorsion affichée, l’attaque s’apparente davantage à une opération de collecte ciblant des dossiers à forte valeur : pièces de sinistres, éléments médicaux, identifiants administratifs, et tout ce qui permet, ensuite, de frauder, d’usurper ou de recouper.

Le périmètre humain est massif. Des responsables au Texas indiquent que plus de 2 millions de résidents ont été affectés. Au total, environ 22,7 millions de personnes voient leurs informations potentiellement compromises. Aflac précise que les documents exfiltrés contiennent des informations liées aux réclamations d’assurance, des données de santé, des numéros de Sécurité sociale et d’autres détails personnels. La liste des populations concernées dépasse les seuls clients : bénéficiaires, employés, agents, et « d’autres individus » associés aux activités américaines de l’assureur.

La chronologie est, elle aussi, un message. Les courriers envoyés aux victimes indiquent que l’enquête a été conclue le 4 décembre. L’entreprise a commencé à notifier les régulateurs d’États et à expédier des lettres de notification de violation de données. Dans ces lettres, Aflac propose deux ans de services de protection d’identité, avec une date limite d’inscription fixée au 18 avril 2026. Ce type de mesure sert autant à réduire l’impact immédiat, qu’à reconnaître implicitement la durée probable du risque : l’exploitation de données d’identité peut survenir des mois, parfois des années, après une fuite.

 

SERVICE DE VEILLE ZATAZ

Nous retrouvons vos données volées/perdues avant qu’elles ne se retournent contre vous.

Fuites de données, Veille web & dark web, alertes et priorisation des risques.

  

DÉCOUVRIR LA VEILLE

Dédiée aux entreprises, institutions et particuliers.

A PARTIR DE 0,06€ PAR JOUR

Dans l’ombre, un signal plus large : l’assurance comme terrain de chasse

L’incident ne survient pas en vase clos. Il s’inscrit dans une vague d’attaques ayant visé le secteur de l’assurance, attribuées à une organisation surnommée Scattered Spider. Le texte décrit un collectif « faiblement affilié », composé de cybercriminels anglophones, connu pour ses accès initiaux obtenus par usurpation, notamment en se faisant passer pour des employés IT. Ce détail est crucial du point de vue renseignement : l’entrée ne dépend pas forcément d’une faille technique sophistiquée, mais d’une capacité à manipuler les procédures internes, le support, l’urgence, la confiance. Quand l’adversaire sait parler le langage des tickets, des mots de passe et des « réinitialisations« , la surface d’attaque devient l’organisation elle-même. Bref, l’entreprise a été piratée par Scattered Spider.

Au même moment, Erie Insurance, Philadelphia Insurance Companies et Scania Financial Services ont également signalé des cyberattaques. Pris ensemble, ces cas dessinent une campagne opportuniste mais structurée : une industrie riche en données, habituée aux échanges documentaires, et contrainte par des obligations de notification, donc prévisible dans sa réponse. Pour les attaquants, c’est un avantage : chaque annonce publique valide que l’accès a eu lieu, et la nature des données laisse entrevoir des usages multiples, de la fraude au chantage individuel, sans qu’il soit nécessaire de bloquer la production par un rançongiciel.

La pression policière, elle, apparaît en filigrane. Après ces attaques, un site de fuite utilisé par le groupe a été démantelé, et deux membres ont été arrêtés puis inculpés au Royaume-Uni. Une plainte du Department of Justice, rendue publique en septembre, affirme que l’opération Scattered Spider a pu extorquer au moins 115 millions $ (105,8 millions €) à des dizaines de victimes en trois ans.

Aflac affirme avoir prévenu les forces de l’ordre fédérales et engagé des experts en cybersécurité. Reste une tension, typique des crises modernes : l’entreprise explique avoir évité l’arrêt opérationnel, mais doit maintenant gérer la seconde phase, la plus longue, celle où des millions de personnes deviennent des cibles potentielles de fraudes et d’arnaques alimentées par des données authentiques. La question n’est plus seulement « qui est entré« , mais « qui exploitera ce qui a été pris« , et à quel rythme.

 

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes.
S’abonner à notre NewsLetter

Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber.

YouTube
Whatsapp
GNews
Autres
Étiquetté :
Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.

Articles similiares

Trafic de puces IA, trois hommes inculpés
31 mars 2026
Un soldat américain au cœur d’un réseau nord-coréen
31 mars 2026
La FCC bloque les routeurs étrangers aux États-Unis
31 mars 2026
Intesa Sanpaolo sanctionnée pour faille interne
31 mars 2026
Chantage au faux VPN : comment l’iPhone se retrouve piégé
6 mars 2026
L’IA au service d’un piratage éclair de FortiGate
5 mars 2026
Cybersécurité en entreprise, le vrai risque est cognitif
25 février 2026
Les Émirats bloquent une offensive cyber dite terroriste
24 février 2026
Pare-feux, la porte d’entrée de 90 % des ransomwares
18 février 2026

Nos partenaires

Actualités du mois

avril 2026
L M M J V S D
 12345
6789101112
13141516171819
20212223242526
27282930  

Articles en UNE

Actus zataz

Réseaux sociaux

Facebook21,615FansJ'aimeX (Twitter)25,823AbonnésSuivreInstagram17,539AbonnésSuivrePinterest15,260AbonnésEpinglerYoutube8,922AbonnésS'abonnerTiktok4,205AbonnésSuivreTelegram1,203MembresRejoindreSoundcloud15,259AbonnésSuivreVimeo25,096AbonnésSuivreDribbble15,260AbonnésSuivre

Liste des sujets

<!-- Cyber'Émission ZATAZ — badge volant (déplaçable) + réduire/fermer -->
<div class="zataz-yt-float" id="zatazYtFloat" role="region" aria-label="Cyber'Émission ZATAZ">
  <div class="zataz-yt-float__bar" id="zatazYtBar">
    <span class="zataz-yt-float__title">Cyber'Émission ZATAZ</span>

    <div class="zataz-yt-float__actions">
      <button type="button" class="zataz-yt-float__btn" id="zatazYtMin" aria-label="Réduire">—</button>
      <button type="button" class="zataz-yt-float__btn zataz-yt-float__btn--close" id="zatazYtClose" aria-label="Fermer">×</button>
    </div>
  </div>

  <a class="zataz-yt-badge" href="https://www.youtube.com/@ZATAZCOM" target="_blank" rel="noopener noreferrer"
     aria-label="Regarder Cyber'Émission ZATAZ sur YouTube (nouvel onglet)">
    <span class="zataz-yt-badge__thumb" aria-hidden="true">
      <span class="zataz-yt-badge__play" aria-hidden="true"></span>
    </span>
  </a>
</div>

<style>
  .zataz-yt-float{
    position:fixed;
    right:18px;
    bottom:18px;
    z-index:99999;
    width:320px;
    max-width:calc(100vw - 36px);
    border-radius:14px;
    overflow:hidden;
    background:linear-gradient(135deg,#111827,#0b1220 55%,#111827);
    border:1px solid rgba(255,255,255,.12);
    box-shadow:0 14px 40px rgba(0,0,0,.35);
    transform:translateZ(0);
    user-select:none;
    touch-action:none; /* drag mobile */
  }

  /* Barre de drag + boutons */
  .zataz-yt-float__bar{
    display:flex;
    align-items:center;
    justify-content:space-between;
    gap:10px;
    padding:10px 10px 10px 12px;
    font-family:system-ui,-apple-system,Segoe UI,Roboto,Arial,sans-serif;
    color:#fff;
    background:rgba(0,0,0,.18);
    border-bottom:1px solid rgba(255,255,255,.10);
    cursor:grab;
  }
  .zataz-yt-float__bar:active{ cursor:grabbing; }
  .zataz-yt-float__title{
    font-weight:800;
    letter-spacing:.2px;
    font-size:15px;
    line-height:1;
    white-space:nowrap;
    overflow:hidden;
    text-overflow:ellipsis;
  }
  .zataz-yt-float__actions{ display:flex; gap:8px; }
  .zataz-yt-float__btn{
    appearance:none;
    border:1px solid rgba(255,255,255,.18);
    background:rgba(0,0,0,.28);
    color:#fff;
    width:32px;
    height:28px;
    border-radius:10px;
    font-weight:900;
    line-height:1;
    cursor:pointer;
    display:grid;
    place-items:center;
  }
  .zataz-yt-float__btn:hover{ background:rgba(255,255,255,.08); border-color:rgba(255,255,255,.28); }
  .zataz-yt-float__btn--close:hover{ background:rgba(239,68,68,.22); border-color:rgba(239,68,68,.45); }

  /* Contenu (votre vignette) */
  .zataz-yt-badge{
    display:block;
    text-decoration:none;
    color:#fff;
  }
  .zataz-yt-badge__thumb{
    display:block;
    height:180px;
    background:#0f172a url("https://i.ytimg.com/vi/HUo8dnD6Swk/hqdefault.jpg") center/cover no-repeat;
    position:relative;
  }
  .zataz-yt-badge__play{
    position:absolute;
    left:50%;
    top:50%;
    width:54px;
    height:54px;
    margin:-27px 0 0 -27px;
    border-radius:999px;
    background:rgba(0,0,0,.55);
    border:1px solid rgba(255,255,255,.25);
    box-shadow:0 10px 22px rgba(0,0,0,.35);
  }
  .zataz-yt-badge__play:before{
    content:"";
    position:absolute;
    left:22px;
    top:16px;
    width:0;height:0;
    border-top:11px solid transparent;
    border-bottom:11px solid transparent;
    border-left:16px solid #fff;
  }

  .zataz-yt-float:hover{
    box-shadow:0 18px 55px rgba(0,0,0,.45);
    border-color:rgba(255,255,255,.18);
  }
  .zataz-yt-badge:active{ transform:scale(.99); }

  /* Etat réduit */
  .zataz-yt-float.is-min .zataz-yt-badge{ display:none; }
  .zataz-yt-float.is-min{ width:260px; }

  /* Mobile : plus compact */
  @media (max-width:480px){
    .zataz-yt-float{ width:280px; right:12px; bottom:12px; }
    .zataz-yt-badge__thumb{ height:158px; }
    .zataz-yt-float.is-min{ width:220px; }
  }
</style>

<script>
(() => {
  const box = document.getElementById('zatazYtFloat');
  const bar = document.getElementById('zatazYtBar');
  const btnMin = document.getElementById('zatazYtMin');
  const btnClose = document.getElementById('zatazYtClose');

  if (!box || !bar || !btnMin || !btnClose) return;

  // Réduire / restaurer
  btnMin.addEventListener('click', (e) => {
    e.stopPropagation();
    box.classList.toggle('is-min');
    btnMin.textContent = box.classList.contains('is-min') ? '▢' : '—';
    btnMin.setAttribute('aria-label', box.classList.contains('is-min') ? 'Restaurer' : 'Réduire');
  });

  // Fermer
  btnClose.addEventListener('click', (e) => {
    e.stopPropagation();
    box.remove();
  });

  // Drag (souris + tactile) via Pointer Events
  let dragging = false;
  let startX = 0, startY = 0;
  let startLeft = 0, startTop = 0;

  // Position initiale: on convertit right/bottom en left/top pour le drag
  const init = () => {
    const r = box.getBoundingClientRect();
    box.style.left = r.left + 'px';
    box.style.top  = r.top  + 'px';
    box.style.right = 'auto';
    box.style.bottom = 'auto';
  };
  init();

  const clamp = (v, min, max) => Math.min(Math.max(v, min), max);

  bar.addEventListener('pointerdown', (e) => {
    // pas de drag quand on clique sur les boutons
    if (e.target === btnMin || e.target === btnClose) return;

    dragging = true;
    bar.setPointerCapture(e.pointerId);

    const r = box.getBoundingClientRect();
    startX = e.clientX;
    startY = e.clientY;
    startLeft = r.left;
    startTop = r.top;

    e.preventDefault();
  });

  bar.addEventListener('pointermove', (e) => {
    if (!dragging) return;

    const dx = e.clientX - startX;
    const dy = e.clientY - startY;

    const r = box.getBoundingClientRect();
    const w = r.width;
    const h = r.height;

    const maxLeft = window.innerWidth - w - 8;
    const maxTop  = window.innerHeight - h - 8;

    box.style.left = clamp(startLeft + dx, 8, maxLeft) + 'px';
    box.style.top  = clamp(startTop + dy, 8, maxTop) + 'px';
  });

  const endDrag = () => { dragging = false; };
  bar.addEventListener('pointerup', endDrag);
  bar.addEventListener('pointercancel', endDrag);

  // Re-clamp au resize
  window.addEventListener('resize', () => {
    const r = box.getBoundingClientRect();
    const maxLeft = window.innerWidth - r.width - 8;
    const maxTop  = window.innerHeight - r.height - 8;
    box.style.left = clamp(r.left, 8, maxLeft) + 'px';
    box.style.top  = clamp(r.top, 8, maxTop) + 'px';
  });
})();
</script>