Attaque Qilin : comment Covenant Health a perdu les données de 478 000 patients en 2025
Lysandre Beauchêne
En mai 2025, une attaque informatique silencieuse a frappé Covenant Health, un prestataire de soins de santé catholique basé dans le Massachusetts. Ce n’est qu’en juillet que l’ampleur réelle du désastre a commencé à émerger. Selon les dernières estimations, près de 478 000 patients ont vu leurs informations personnelles et médicales compromises, un chiffre en nette augmentation par rapport aux premières déclarations. Cet incident rappelle cruellement la fragilité des données de santé face aux cybercriminels.
L’entité de santé a révisé à la hausse le nombre de victimes après avoir finalisé “l’essentiel de son analyse des données”. Initialement, seuls 7 864 individus étaient cités comme victimes. Cette révision massive soulève des questions cruciales sur les détections tardives et la sécurité des infrastructures critiques. Dans cet article, nous décortiquons les mécanismes de cette attaque, les données exposées et les leçons à tirer pour les professionnels de la santé en France et à l’international.
L’attaque Qilin : une intrusion ciblée et méthodique
Le groupe de ransomware Qilin, également connu sous le nom de Agenda, a revendiqué la responsabilité de l’attaque contre Covenant Health. Cette organisation criminelle est connue pour son approche “Big Game Hunting”, ciblant spécifiquement les grandes organisations susceptibles de payer de fortes rançons. L’attaque a débuté bien avant la découverte officielle.
Chronologie de l’infiltration
Les investigateurs ont établi que les cybercriminels ont pénétré les réseaux de Covenant Health le 18 mai 2025. Cependant, la direction de l’organisation n’a détecté l’activité malveillante que le 26 mai 2025, soit huit jours plus tard. Ce délai de huit jours est critique : il a laissé aux attaquants tout le temps nécessaire pour se déplacer latéralement dans le réseau, escalader les privilèges et exfiltrer des volumes massifs de données.
Qilin est une menace émergente qui opère sur le modèle RaaS (Ransomware-as-a-Service). Ils fournissent une infrastructure aux affiliés, qui mènent les attaques proprement dites, partageant ensuite les bénéfices.
Le vol de données massif
En late juin, le groupe Qilin a affiché Covenant Health sur son site de fuite de données (Data Leak Site). Ils ont affirmé avoir volé 852 Go de données, comprenant près de 1,35 million de fichiers. Cette quantité astronomique suggère une exfiltration non sécurisée et totale des bases de données patients (notamment via des vulnérabilités comme CVE-2025-14847 - fuite de mémoire critique sur MongoDB).
“L’impact potentiel de cette fuite est dévastateur, non seulement pour les patients, mais pour la réputation de l’établissement.” — Expert en cybersécurité hospitalière.
Cette affirmation démontre que le chiffrement des serveurs n’était probablement pas l’objectif principal, mais plutôt le chantage à la fuite de données (double extortion).
Analyse de l’impact : de 7 000 à près de 500 000 victimes
La révision du nombre de victimes est l’un des aspects les plus préoccupants de cet incident. Elle illustre la difficulté pour les organisations de comprendre immédiatement l’étendue d’une compromission.
L’erreur d’estimation initiale
Lors de la première notification en juillet 2025, Covenant Health avait estimé que seuls 7 864 patients étaient concernés. Ce chiffre basé sur une analyse préliminaire s’est avéré largement sous-estimé. Selon les sources, l’organisation a déclaré que “l’essentiel de l’analyse des données” était maintenant terminé, permettant d’identifier 478 188 individus affectés.
Cette disparité s’explique souvent par la complexité des environnements informatiques de santé. Les données sont dispersées sur des serveurs locaux, des stockages cloud et des applications tierces. Sans une cartographie précise des actifs et des flux de données, il est presque impossible d’évaluer rapidement la portée d’une fuite.
Profil de la cible : Covenant Health
Covenant Health est une entité de santé catholique opérant principalement dans le Massachusetts et la Nouvelle-Angleterre. Gérant des hôpitaux, des centres de rééducation et des résidences pour personnes âgées, ils détiennent des données extrêmement sensibles. Ce type d’organisation est une cible de choix car elles disposent souvent de budgets informatiques limités par rapport à leur taille et possèdent des données de haute valeur.
Données exposées : qu’est-ce qui a fuité exactement ?
L’attaque a compromis une vaste gamme d’informations personnelles et médicales. Le type de données volées expose les patients à des risques multiples, allant de l’usurpation d’identité au vol de soins.
La liste détaillée des données compromises
Covenant Health a confirmé que les informations suivantes ont potentiellement été exposées :
- Identité civile : Noms complets, adresses postales, dates de naissance, et numéros de sécurité sociale (Social Security numbers).
- Données médicales : Numéros de dossiers médicaux, informations sur les assurances santé, détails des traitements, diagnostics et dates de consultation.
- Données administratives : Toute information liée à la facturation et aux dossiers des patients.
La présence de numéros de sécurité sociale et de détails médicaux est particulièrement dangereuse. Ces données permettent aux criminels de créer des identités complètes ou de revendre des informations médicales sur le dark web.
Les risques pour les patients
Les patients concernés font face à plusieurs années de vigilance accrue. Les risques incluent :
- Fraude à l’assurance : Utilisation des informations pour facturer des soins non rendus.
- Usurpation d’identité : Ouverture de lignes de crédit ou de comptes bancaires.
- Chantage : Menace de révélation de données médicales sensibles à des tiers.
Réponse de Covenant Health et mesures correctives
Face à cette crise, Covenant Health a déployé plusieurs mesures pour tenter de limiter les dégâts et sécuriser ses systèmes.
L’intervention des experts forensics
Dès la découverte de l’intrusion, l’organisation a mandaté des spécialistes forensiques tiers. Ces experts travaillent à déterminer comment la brèche a eu lieu et comment les attaquants ont opéré. Cependant, l’enquête est toujours en cours, et l’organisation n’a pas communiqué de calendrier précis pour sa finalisation.
En pratique, cela signifie que des vulnérabilités pourraient encore exister dans le système tant que l’audit complet n’est pas terminé.
Renforcement de la sécurité
Covenant Health a annoncé avoir “renforcé la sécurité de ses systèmes” pour empêcher des incidents similaires à l’avenir. Bien que les détails techniques précis ne soient pas divulgués, cela implique généralement :
- Le déploiement de nouveaux outils de détection EDR (Endpoint Detection and Response).
- Le renforcement des politiques d’accès (MFA, gestion des privilèges).
- La segmentation du réseau pour isoler les données sensibles.
Assistance aux victimes
Pour atténuer l’impact sur les patients, Covenant Health offre 12 mois de protection d’identité gratuite. Des lettres de notification ont commencé à être envoyées à partir du 31 décembre 2025. Cette offre est une pratique standard, mais elle reste insuffisante face à la durée de vie potentiellement infinie des données volées.
Comparaison avec d’autres attaques de santé en 2025
Pour mettre cette attaque en perspective, comparons les méthodes et l’impact avec d’autres incidents récents.
| Critère | Attaque Covenant Health (Qilin) | Attaque Change Healthcare (ALPHV/BlackCat) | Attaque moyenne (Secteur Santé) |
|---|---|---|---|
| Groupe | Qilin (Agenda) | ALPHV / BlackCat | Varie |
| Impact US (est.) | ~478 000 patients | ~100 millions (estimé) | ~10 000 - 50 000 |
| Type de Données | PII + PHI complet | Facturation + PII | Mixte |
| Tactique | Double Extorsion | Déni de Service + Extorsion | Chiffrement |
| Réponse | Protection identité (12 mois) | Aucune (faillite) | Variable |
Ce tableau montre que si l’attaque Covenant Health est sévère, elle s’inscrit dans une tendance plus large d’attaques ciblant le secteur de la santé avec des tactiques de double extorsion.
5 leçons de sécurité pour les DSI de santé
Cet incident offre des enseignements précieux pour les responsables informatiques en France et en Europe.
- La détection rapide est primordiale : Huit jours d’inactivité malveillante sont trop longs. Les systèmes de détection comportementale (UEBA) sont indispensables.
- Ne pas se fier aux premières estimations : Toujours supposer le pire scénario lors de la phase initiale d’une crise.
- Sécuriser les données hors ligne : Les backups immuables et hors ligne sont la seule défiance efficace contre le chiffrement.
- Sous-traitance forensique : Avoir un contrat pré-signé avec une société de réponse aux incidents (IR) permet de gagner un temps précieux.
- Sensibilisation continue : Les ransomwares débutent souvent par un email de phishing. La formation des utilisateurs reste le premier rempart.
Étapes actionnables pour sécuriser votre infrastructure de santé
Si vous gérez une structure de santé, voici une checklist d’urgence post-incident Covenant Health.
- Auditer les logs d’accès : Vérifiez toute activité suspecte remontant à mai 2025 sur vos serveurs de fichiers et bases de données (en gardant à jour vos frameworks comme React et Next.js face aux vulnérabilités critiques d’exécution de code à distance).
- Forcer le MFA (Multi-Factor Authentication) : Appliquez-le sur tous les accès à distance (VPN, RDP) et sur les comptes à privilèges, et surveiller les botnets ciblant les serveurs Next.js comme Rondodox.
- Isoler les données sensibles : Créez des VLANs distincts pour les équipements médicaux et les serveurs de données patients.
- Tester vos backups : Assurez-vous que vous pouvez restaurer l’intégralité de vos données en cas de destruction totale des serveurs.
- Mettre à jour le plan de communication : Préparez des modèles de notification pour les patients et les autorités de régulation (RGPD en Europe).
Conclusion : la vigilance comme seul rempart
L’attaque contre Covenant Health démontre une fois de plus que le secteur de la santé est une cible privilégiée pour les cybercriminels en 2025. La révision du nombre de victimes de 7 864 à 478 188 souligne l’importance cruciale d’une investigation forensique approfondie et rapide. Les données médicales sont précieuses et leur protection doit être une priorité absolue.
Face à des groupes comme Qilin, la sécurité périmétrique classique ne suffit plus. Il faut adopter une approche de défense en profondeur, incluant la détection rapide, la segmentation du réseau et une réponse d’incident rodée. La protection des patients ne passe plus seulement par le secret médical, mais par une cybersécurité sans faille.