DATE : Avril 2025
CATÉGORIE : Cas concret / Secteur santé
Change Healthcare : l'attaque ransomware la plus coûteuse de l'histoire médicale
Introduction
Le 21 février 2024, les systèmes de Change Healthcare, filiale du géant américain UnitedHealth Group, cessent de fonctionner. En quelques heures, c'est l'ensemble du système de santé américain qui bascule dans le chaos. Pharmacies, hôpitaux, médecins libéraux : des milliers d'organisations se retrouvent dans l'incapacité de traiter des ordonnances ou d'accéder aux informations de couverture de leurs patients. Cette attaque est devenue la référence mondiale de l'impact des ransomwares sur les infrastructures critiques.
Chronologie de l'attaque
L'intrusion initiale a eu lieu le 12 février 2024, neuf jours avant le déclenchement du chiffrement. Pendant cette période, un affilié du groupe BlackCat/ALPHV s'est infiltré discrètement dans le réseau, probablement via des identifiants compromis ne nécessitant pas d'authentification multifacteur. Ce délai illustre le phénomène de dwell time, le temps de présence silencieuse d'un attaquant dans un réseau avant qu'il ne passe à l'action.
Avant de déclencher le chiffrement, l'affilié a exfiltré les données médicales protégées de 190 millions d'individus , 69 % de l'ensemble des dossiers de santé américains compromis sur toute l'année 2024. Il s'agit de la plus grande fuite de données médicales de l'histoire.
La double extorsion et l'exit scam
Face à la pression, UnitedHealth Group a payé une rançon de 22 millions de dollars. Ce paiement ne met pas fin à l'affaire. BlackCat/ALPHV a réalisé un exit scam : il a prétendu que ses serveurs avaient été saisis par le FBI pour disparaître sans reverser la part due à l'affilié. Furieux, cet affilié a transféré les données volées au groupe RansomHub, qui a tenté une deuxième extorsion. La société a refusé de payer une seconde fois.
Les conséquences opérationnelles et financières
UnitedHealth Group a estimé ses pertes totales à plus de 2,4 milliards de dollars en coûts de réponse. La panne a duré plusieurs semaines, pendant lesquelles des milliers de pharmacies ont dû refuser des ordonnances ou demander des paiements comptants. Des hôpitaux ont signalé des difficultés à soumettre des demandes de remboursement, provoquant des tensions de trésorerie massives.
Selon une étude publiée dans JAMA Network Open en 2025, le nombre total de dossiers de santé compromis dans les attaques ransomware aux États-Unis a atteint 276 millions en 2024, dont 190 millions pour le seul incident Change Healthcare, représentant 81 % de la population américaine.
Les leçons pour les développeurs et les équipes IT
Cet incident met en lumière plusieurs défaillances fondamentales. La première est l'absence d'authentification multifacteur sur les systèmes d'accès distant, une mesure élémentaire qui aurait pu empêcher l'intrusion initiale. La deuxième est la concentration excessive des services : Change Healthcare traitait 50 % des ordonnances médicales américaines, créant un point de défaillance unique de dimension nationale.
Pour un développeur, cet exemple illustre concrètement l'importance du principe de moindre privilège, de la segmentation des systèmes critiques et de la nécessité d'intégrer l'authentification forte dès la conception d'une application.
Sources
IBM — Healthcare Industry Attack Trends 2024 (ibm.com/think)
HIPAA Journal — The Biggest Healthcare Data Breaches of 2024
JAMA Network Open — Ransomware Attacks and Data Breaches in US Health Care Systems, 2025
UnitedHealth Group — Rapports financiers 2024