C’est par l’intermédiaire de son directeur général David Koczkar que Medibank, plus gros assureur maladie australien, a révélé l’ampleur de la cyberattaque initialement reportée en début de mois. Le communiqué sorti mercredi 26 octobre 2022 évoque désormais le nombre de 4 millions de clients touchés : l’intégralité du portefeuille de Medibank. « Notre enquête a maintenant établi que ce criminel a accédé aux données personnelles de tous nos clients de l’assurance maladie privée et à des quantités importantes de données sur leurs demandes de remboursement de frais de santé, » a déclaré le directeur général de Medibank David Koczkar. « Je présente des excuses sans réserve à nos clients. C’est un crime terrible – c’est un crime conçu pour causer un maximum de dommages aux membres les plus vulnérables de notre communauté ».

Medibank victime d’une cyberattaque de l’ensemble de son portefeuille client

Les données hackées concernent les informations personnelles comprenant le nom, l’adresse, la date de naissance, certains numéros de carte Medicare (l’équivalent de la carte Vitale) et le sexe. Les informations sur la santé comprennent les codes de demande de remboursement effectués par les clients.

En plus des 4 millions de clients actuels de l’assureur concernés par la cyberattaque, les anciens clients sont également touchés. En effet, les lois fédérales imposent à Medibank de conserver leurs données pendant 7 ans.

Selon Medibank, le piratage devrait coûter au minimum entre 25 et 35 millions de dollars à l’entreprise. Une somme conséquente qui s’explique par le fait que l’assureur n’a pas souscrit à une assurance contre les cyberattaques. Ce coût estimé ne comprend ni l’indemnisation des clients ni les frais réglementaires ou juridiques qui pourraient être engagés contre la société.

L’investigation suit son cours, puisque malgré les chiffres avancés, l’étendue du piratage n’est toujours pas arrêtée. Medibank n’est en effet toujours pas en mesure de dire avec certitude combien ou quels clients sont concernés, au-delà des 1 000 dossiers fournis à l’assureur par le pirate au cours des deux dernières semaines. C’est grâce à cette communication avec le pirate que Medibank a pu déterminer l’étendue de la violation jusqu’à présent. L’assureur australien est en communication avec le pirate – qui a obtenu les informations d’identification de Medibank volées par un autre pirate sur un forum cybercriminel russe, mais l’entreprise a refusé de révéler si elle paierait toute demande de rançon. L’assureur a préféré réaffirmer que ses systèmes informatiques n’avaient pas été cryptés par un ransomware à ce jour et qu’elle continuerait à surveiller toute autre activité suspecte.

Le pays victime de cyberattaques d’ampleurs, le gouvernement réagit

L’Australie avait récemment déjà fait la une pour une histoire de piratage à l’échelle nationale. Il y a un mois, c’était 10 millions de clients australiens dont les données étaient piratées. La cyberattaque touchait l’une des plus grandes entreprises de télécommunication du pays : Optus. Un vol massif de données personnelles, incluant des dates de naissance, des numéros de téléphone, des adresses e-mail ainsi que des numéros de passeport et de permis de conduire.

La cyberattaque du mois dernier était qualifiée de plus grand piratage subi par le pays. Elle a malheureusement sans aucun doute ouvert la voie au piratage de Medibank. « Lorsque vous avez une violation très visible comme celle d’Optus en Australie, les pirates informatiques en prennent note et se disent « je vais peut-être creuser là-dedans et voir ce que je suis capable d’en sortir » », a déclaré Jeremy Kirk, rédacteur en chef d’Information Security Media Group, une publication spécialisée dans la cybersécurité.

Deux cyberattaques en 2 mois, le gouvernement fédéral australien s’empresse de réagir en actionnant différents leviers. Avant même ces attaques, il s’était déjà positionné l’année dernière sur le volet éducatif, en introduisant la cybersécurité dans le programme scolaire des 5 à 16 ans.

Avec le piratage de données médicales, le gouvernement est de nouveau monté au créneau. « Il s’agit d’informations sur les soins de santé, et le fait qu’elles soient rendues publiques peut causer d’immenses dommages aux Australiens. C’est pourquoi nous sommes si impliqués dans cette affaire », a déclaré Clare O’Neill, ministre de la cybersécurité, à l’Australian Broadcasting Corp.

En réaction, des textes de lois sont en cours de rédaction pour imposer des amendes aux entreprises victimes de piratage de données personnelles. Suite à la cyberattaque d’Optus, le gouvernement avait là aussi réagi au quart de tour, modifiant ses lois pour autoriser les entreprises de télécommunications à partager les documents d’identité de leurs clients avec les banques.