Accueil / Cybersécurité / santé / Hausse des attaques d’ingénierie sociale dans le secteur des services d’assistance informatique en santé

Hausse des attaques d’ingénierie sociale dans le secteur des services d’assistance informatique en santé

Par
3 Mins Read
15 avril 2024

Sommaire de l'article

Le ministère américain de la santé et des services sociaux (HHS) a récemment publié une alerte à destination des opérateurs de services d’assistance informatique dans le secteur de la santé, signalant une augmentation notable des attaques d’ingénierie sociale. Ces attaques, particulièrement sophistiquées, visent à détourner des fonds vers des comptes bancaires contrôlés par les attaquants.

Selon le bureau de la sécurité de l’information du HHS et le centre de coordination de la cybersécurité du secteur de la santé, les acteurs de la menace procèdent souvent par appel téléphonique, se faisant passer pour des employés des services financiers de l’entreprise ciblée. Ils parviennent à usurper les numéros de téléphone pour qu’ils affichent un indicatif régional qui semble local.

L’alerte précise que ces individus sont capables de fournir des informations personnelles sensibles validant leur fausse identité, telles que les derniers chiffres du numéro de sécurité sociale et d’autres données démographiques, obtenues via des sites de réseautage professionnel ou des violations de données précédentes.

Exploitation des failles de sécurité

L’attaquant prétend souvent que son téléphone est endommagé et qu’il ne peut ni passer d’appels ni recevoir des jetons de vérification multifactorielle (MFA). Cette même ruse est utilisée, depuis quelques semaines, sur WhatsApp. Des parents reçoivent de leur présumé enfant un message sur WhatsApp leur indiquant un changement de numéro. N’y répondez pas, il s’agit d’un piège.

Pour le secteur de la santé, cette ruse l’amène à convaincre le service d’assistance d’enregistrer un nouveau dispositif pour l’accès MFA, permettant ainsi l’accès non autorisé aux ressources de l’entreprise. Une fois cet accès obtenu, les attaquants redirigent les paiements bancaires vers des comptes sous leur contrôle, avant de transférer les fonds à l’international.

Implications pour la sécurité des informations financières

Les attaquants ciblent ensuite les informations de connexion aux sites des payeurs et modifient les instructions ACH pour que les paiements soient redirigés vers des comptes américains qu’ils contrôlent. Ces actions sont souvent suivies par l’accès aux comptes de messagerie des employés, d’où ils envoient des instructions modifiées aux processeurs de paiement.

Le HHS note que des tactiques similaires ont été utilisées par le groupe de menace connu sous le nom de Scattered Spider lors d’une attaque de ransomware contre une organisation du secteur de l’hôtellerie et du divertissement en septembre 2023. De plus, l’usage potentiel d’outils d’usurpation d’identité vocale basés sur l’IA a été signalé comme une complication supplémentaire dans ces attaques.

Mesures recommandées pour renforcer la sécurité

Pour contrer ces menaces, le HHS recommande plusieurs stratégies de mitigation. Parmi celles-ci, l’utilisation de Microsoft Authenticator et/ou Google Authenticator avec correspondance de numéros pour l’authentification, ne plus utiliser les SMS comme option MFA, la sécurisation de l’enregistrement MFA et SSPR en exigeant une authentification depuis un réseau approuvé, et le blocage de l’accès externe aux fonctionnalités d’administration de Microsoft Azure et Microsoft 365 via une stratégie d’accès conditionnel.

Étiquetté :
Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.

Articles similiares

La stratégie cyber de Trump muscle l’offensive américaine
11 mars 2026
Incident de sécurité chez Wikimedia via un ver JavaScript
11 mars 2026
TriZetto : 3,4 millions de patients touchés
11 mars 2026
Ancien pilote américain accusé d’avoir formé l’armée chinoise
11 mars 2026
Prince Group : 62 inculpations dans une vaste fraude en ligne
11 mars 2026
Phobos : le développeur clé plaide coupable aux États-Unis
11 mars 2026
Cyberfraude : Washington prépare un fonds pour les victimes
11 mars 2026
Nouveau malware Android vole les codes SMS bancaires
11 mars 2026
Le Parlement européen coupe l’IA des tablettes des élus
6 mars 2026

Nos partenaires

Actualités du mois

mars 2026
L M M J V S D
 1
2345678
9101112131415
16171819202122
23242526272829
3031  

Articles en UNE

Actus zataz

Réseaux sociaux

Facebook21,615FansJ'aimeX (Twitter)25,823AbonnésSuivreInstagram17,539AbonnésSuivrePinterest15,260AbonnésEpinglerYoutube8,922AbonnésS'abonnerTiktok4,205AbonnésSuivreTelegram1,203MembresRejoindreSoundcloud15,259AbonnésSuivreVimeo25,096AbonnésSuivreDribbble15,260AbonnésSuivre

Liste des sujets

<!-- Cyber'Émission ZATAZ — badge volant (déplaçable) + réduire/fermer -->
<div class="zataz-yt-float" id="zatazYtFloat" role="region" aria-label="Cyber'Émission ZATAZ">
  <div class="zataz-yt-float__bar" id="zatazYtBar">
    <span class="zataz-yt-float__title">Cyber'Émission ZATAZ</span>

    <div class="zataz-yt-float__actions">
      <button type="button" class="zataz-yt-float__btn" id="zatazYtMin" aria-label="Réduire">—</button>
      <button type="button" class="zataz-yt-float__btn zataz-yt-float__btn--close" id="zatazYtClose" aria-label="Fermer">×</button>
    </div>
  </div>

  <a class="zataz-yt-badge" href="https://www.youtube.com/@ZATAZCOM" target="_blank" rel="noopener noreferrer"
     aria-label="Regarder Cyber'Émission ZATAZ sur YouTube (nouvel onglet)">
    <span class="zataz-yt-badge__thumb" aria-hidden="true">
      <span class="zataz-yt-badge__play" aria-hidden="true"></span>
    </span>
  </a>
</div>

<style>
  .zataz-yt-float{
    position:fixed;
    right:18px;
    bottom:18px;
    z-index:99999;
    width:320px;
    max-width:calc(100vw - 36px);
    border-radius:14px;
    overflow:hidden;
    background:linear-gradient(135deg,#111827,#0b1220 55%,#111827);
    border:1px solid rgba(255,255,255,.12);
    box-shadow:0 14px 40px rgba(0,0,0,.35);
    transform:translateZ(0);
    user-select:none;
    touch-action:none; /* drag mobile */
  }

  /* Barre de drag + boutons */
  .zataz-yt-float__bar{
    display:flex;
    align-items:center;
    justify-content:space-between;
    gap:10px;
    padding:10px 10px 10px 12px;
    font-family:system-ui,-apple-system,Segoe UI,Roboto,Arial,sans-serif;
    color:#fff;
    background:rgba(0,0,0,.18);
    border-bottom:1px solid rgba(255,255,255,.10);
    cursor:grab;
  }
  .zataz-yt-float__bar:active{ cursor:grabbing; }
  .zataz-yt-float__title{
    font-weight:800;
    letter-spacing:.2px;
    font-size:15px;
    line-height:1;
    white-space:nowrap;
    overflow:hidden;
    text-overflow:ellipsis;
  }
  .zataz-yt-float__actions{ display:flex; gap:8px; }
  .zataz-yt-float__btn{
    appearance:none;
    border:1px solid rgba(255,255,255,.18);
    background:rgba(0,0,0,.28);
    color:#fff;
    width:32px;
    height:28px;
    border-radius:10px;
    font-weight:900;
    line-height:1;
    cursor:pointer;
    display:grid;
    place-items:center;
  }
  .zataz-yt-float__btn:hover{ background:rgba(255,255,255,.08); border-color:rgba(255,255,255,.28); }
  .zataz-yt-float__btn--close:hover{ background:rgba(239,68,68,.22); border-color:rgba(239,68,68,.45); }

  /* Contenu (votre vignette) */
  .zataz-yt-badge{
    display:block;
    text-decoration:none;
    color:#fff;
  }
  .zataz-yt-badge__thumb{
    display:block;
    height:180px;
    background:#0f172a url("https://i.ytimg.com/vi/HUo8dnD6Swk/hqdefault.jpg") center/cover no-repeat;
    position:relative;
  }
  .zataz-yt-badge__play{
    position:absolute;
    left:50%;
    top:50%;
    width:54px;
    height:54px;
    margin:-27px 0 0 -27px;
    border-radius:999px;
    background:rgba(0,0,0,.55);
    border:1px solid rgba(255,255,255,.25);
    box-shadow:0 10px 22px rgba(0,0,0,.35);
  }
  .zataz-yt-badge__play:before{
    content:"";
    position:absolute;
    left:22px;
    top:16px;
    width:0;height:0;
    border-top:11px solid transparent;
    border-bottom:11px solid transparent;
    border-left:16px solid #fff;
  }

  .zataz-yt-float:hover{
    box-shadow:0 18px 55px rgba(0,0,0,.45);
    border-color:rgba(255,255,255,.18);
  }
  .zataz-yt-badge:active{ transform:scale(.99); }

  /* Etat réduit */
  .zataz-yt-float.is-min .zataz-yt-badge{ display:none; }
  .zataz-yt-float.is-min{ width:260px; }

  /* Mobile : plus compact */
  @media (max-width:480px){
    .zataz-yt-float{ width:280px; right:12px; bottom:12px; }
    .zataz-yt-badge__thumb{ height:158px; }
    .zataz-yt-float.is-min{ width:220px; }
  }
</style>

<script>
(() => {
  const box = document.getElementById('zatazYtFloat');
  const bar = document.getElementById('zatazYtBar');
  const btnMin = document.getElementById('zatazYtMin');
  const btnClose = document.getElementById('zatazYtClose');

  if (!box || !bar || !btnMin || !btnClose) return;

  // Réduire / restaurer
  btnMin.addEventListener('click', (e) => {
    e.stopPropagation();
    box.classList.toggle('is-min');
    btnMin.textContent = box.classList.contains('is-min') ? '▢' : '—';
    btnMin.setAttribute('aria-label', box.classList.contains('is-min') ? 'Restaurer' : 'Réduire');
  });

  // Fermer
  btnClose.addEventListener('click', (e) => {
    e.stopPropagation();
    box.remove();
  });

  // Drag (souris + tactile) via Pointer Events
  let dragging = false;
  let startX = 0, startY = 0;
  let startLeft = 0, startTop = 0;

  // Position initiale: on convertit right/bottom en left/top pour le drag
  const init = () => {
    const r = box.getBoundingClientRect();
    box.style.left = r.left + 'px';
    box.style.top  = r.top  + 'px';
    box.style.right = 'auto';
    box.style.bottom = 'auto';
  };
  init();

  const clamp = (v, min, max) => Math.min(Math.max(v, min), max);

  bar.addEventListener('pointerdown', (e) => {
    // pas de drag quand on clique sur les boutons
    if (e.target === btnMin || e.target === btnClose) return;

    dragging = true;
    bar.setPointerCapture(e.pointerId);

    const r = box.getBoundingClientRect();
    startX = e.clientX;
    startY = e.clientY;
    startLeft = r.left;
    startTop = r.top;

    e.preventDefault();
  });

  bar.addEventListener('pointermove', (e) => {
    if (!dragging) return;

    const dx = e.clientX - startX;
    const dy = e.clientY - startY;

    const r = box.getBoundingClientRect();
    const w = r.width;
    const h = r.height;

    const maxLeft = window.innerWidth - w - 8;
    const maxTop  = window.innerHeight - h - 8;

    box.style.left = clamp(startLeft + dx, 8, maxLeft) + 'px';
    box.style.top  = clamp(startTop + dy, 8, maxTop) + 'px';
  });

  const endDrag = () => { dragging = false; };
  bar.addEventListener('pointerup', endDrag);
  bar.addEventListener('pointercancel', endDrag);

  // Re-clamp au resize
  window.addEventListener('resize', () => {
    const r = box.getBoundingClientRect();
    const maxLeft = window.innerWidth - r.width - 8;
    const maxTop  = window.innerHeight - r.height - 8;
    box.style.left = clamp(r.left, 8, maxLeft) + 'px';
    box.style.top  = clamp(r.top, 8, maxTop) + 'px';
  });
})();
</script>