En juin, une intrusion informatique chez Aflac a exposé des données sensibles à grande échelle. L’assureur dit avoir stoppé l’attaque en quelques heures, mais confirme un vol de fichiers concernant 22,7 millions d’individus.
Le groupe d’assurance basé en Géorgie confirme qu’une cyberattaque survenue en juin a entraîné le vol d’informations personnelles concernant environ 22,7 millions de personnes, dont plus de 2 millions au Texas. Aflac affirme avoir contenu l’intrusion « en quelques heures » et ne pas avoir subi de rançongiciel, tout en reconnaissant que des documents ont été exfiltrés. Les fichiers dérobés portent sur des demandes d’indemnisation, des données de santé, des numéros de Sécurité sociale et d’autres éléments identifiants, touchant clients, bénéficiaires, salariés, agents et autres personnes liées aux activités américaines. L’enquête s’est achevée le 4 décembre, sept mois aprés la cyber attaque !
Ce que l’enquête interne révèle, et ce qu’elle ne dit pas
Aflac a publié une déclaration marquant la fin d’une enquête ouverte après l’incident annoncé plus tôt dans l’année. Le récit officiel suit une ligne claire : détection rapide, arrêt de l’intrusion « dans les heures », continuité des opérations, puis confirmation d’un vol de données. Autrement dit, la disponibilité des systèmes n’a pas vacillé, mais la confidentialité, elle, a cédé. Pour un assureur, c’est souvent le scénario le plus redouté : la machine continue de tourner, tandis que la fuite, silencieuse, produit ses effets longtemps après.
L’entreprise avait déjà alerté la Securities Exchange Commission (SEC) sur un point central : malgré l’endiguement, certains fichiers ont été emportés par les cybercriminels. Dans sa nouvelle communication, Aflac insiste sur l’absence de rançongiciel. Cette précision compte, parce qu’elle déplace la lecture du risque. Sans chiffrement généralisé ni extorsion affichée, l’attaque s’apparente davantage à une opération de collecte ciblant des dossiers à forte valeur : pièces de sinistres, éléments médicaux, identifiants administratifs, et tout ce qui permet, ensuite, de frauder, d’usurper ou de recouper.
Le périmètre humain est massif. Des responsables au Texas indiquent que plus de 2 millions de résidents ont été affectés. Au total, environ 22,7 millions de personnes voient leurs informations potentiellement compromises. Aflac précise que les documents exfiltrés contiennent des informations liées aux réclamations d’assurance, des données de santé, des numéros de Sécurité sociale et d’autres détails personnels. La liste des populations concernées dépasse les seuls clients : bénéficiaires, employés, agents, et « d’autres individus » associés aux activités américaines de l’assureur.
La chronologie est, elle aussi, un message. Les courriers envoyés aux victimes indiquent que l’enquête a été conclue le 4 décembre. L’entreprise a commencé à notifier les régulateurs d’États et à expédier des lettres de notification de violation de données. Dans ces lettres, Aflac propose deux ans de services de protection d’identité, avec une date limite d’inscription fixée au 18 avril 2026. Ce type de mesure sert autant à réduire l’impact immédiat, qu’à reconnaître implicitement la durée probable du risque : l’exploitation de données d’identité peut survenir des mois, parfois des années, après une fuite.
SERVICE DE VEILLE ZATAZNous retrouvons vos données volées/perdues avant qu’elles ne se retournent contre vous.
|
Dédiée aux entreprises, institutions et particuliers. A PARTIR DE 0,06€ PAR JOUR |
Dans l’ombre, un signal plus large : l’assurance comme terrain de chasse
L’incident ne survient pas en vase clos. Il s’inscrit dans une vague d’attaques ayant visé le secteur de l’assurance, attribuées à une organisation surnommée Scattered Spider. Le texte décrit un collectif « faiblement affilié », composé de cybercriminels anglophones, connu pour ses accès initiaux obtenus par usurpation, notamment en se faisant passer pour des employés IT. Ce détail est crucial du point de vue renseignement : l’entrée ne dépend pas forcément d’une faille technique sophistiquée, mais d’une capacité à manipuler les procédures internes, le support, l’urgence, la confiance. Quand l’adversaire sait parler le langage des tickets, des mots de passe et des « réinitialisations« , la surface d’attaque devient l’organisation elle-même. Bref, l’entreprise a été piratée par Scattered Spider.
Au même moment, Erie Insurance, Philadelphia Insurance Companies et Scania Financial Services ont également signalé des cyberattaques. Pris ensemble, ces cas dessinent une campagne opportuniste mais structurée : une industrie riche en données, habituée aux échanges documentaires, et contrainte par des obligations de notification, donc prévisible dans sa réponse. Pour les attaquants, c’est un avantage : chaque annonce publique valide que l’accès a eu lieu, et la nature des données laisse entrevoir des usages multiples, de la fraude au chantage individuel, sans qu’il soit nécessaire de bloquer la production par un rançongiciel.
La pression policière, elle, apparaît en filigrane. Après ces attaques, un site de fuite utilisé par le groupe a été démantelé, et deux membres ont été arrêtés puis inculpés au Royaume-Uni. Une plainte du Department of Justice, rendue publique en septembre, affirme que l’opération Scattered Spider a pu extorquer au moins 115 millions $ (105,8 millions €) à des dizaines de victimes en trois ans.
Aflac affirme avoir prévenu les forces de l’ordre fédérales et engagé des experts en cybersécurité. Reste une tension, typique des crises modernes : l’entreprise explique avoir évité l’arrêt opérationnel, mais doit maintenant gérer la seconde phase, la plus longue, celle où des millions de personnes deviennent des cibles potentielles de fraudes et d’arnaques alimentées par des données authentiques. La question n’est plus seulement « qui est entré« , mais « qui exploitera ce qui a été pris« , et à quel rythme.
News & alertes actualités cyberEnquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes. |
|||||||||
Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber.
|