Publié mercredi 9 novembre 2022 à 05:38
Modifié jeudi 10 novembre 2022 à 07:24

Les pirates informatiques responsables de la cyberattaque ont réclamé 10 millions de dollars américains pour mettre un terme à la divulgation de données médicales personnelles, soit environ un dollar par victime potentielle. L'assureur a jusqu'à présent refusé de payer les pirates informatiques.

Porteurs du VIH ou dépendants à la drogue... Après un piratage informatique d'ampleur et le refus de l'entreprise de payer une rançon, Medibank, l'un des principaux assureurs privés de santé du pays, a déclaré à ses investisseurs qu'un «échantillon» des données de ses quelque 9,7 millions de clients avait été publié sur un «forum du dark web» . Les pirates exigent 10 millions de dollars (6,3 millions de francs).

Des noms, numéros de passeport, dates de naissance, adresses et informations médicales figurent parmi les données personnelles postées anonymement mercredi matin.

Les victimes ont été réparties dans une liste de «bons» et de «vilains». Plusieurs personnes figurant dans la liste «vilains» étaient associées à des codes numériques les reliant à une addiction à la drogue, à l'alcoolisme et au VIH. Un dossier comportait par exemple l'indication «p_diag: F122» - F122 est le code de la «dépendance au cannabis» selon la Classification internationale des maladies publiée par l'Organisation mondiale de la santé.

Le premier ministre australien Anthony Albanese, lui-même client de Medibank, a assimilé la cyberattaque à un «coup de semonce» pour les entreprises australiennes.

La société s'attend à de nouvelles fuites

Les données divulguées ont été publiées sur un forum du dark web, qui ne peut être trouvé à l'aide des navigateurs classiques.

Les hackers ont mis leur menace à exécution, après avoir averti qu'ils publieraient les données si Medibank ne leur versait pas 10 millions de dollars. «PS: Je recommande de vendre les actions de Medibank», ont écrit les pirates informatiques sur un forum quelque 24 heures avant la publication du premier échantillon de données.

Medibank, soutenu par le gouvernement fédéral australien, a refusé mardi d'accéder à leur demande, conseillant à ses clients de rester «vigilants». «Sur la base des conseils approfondis que nous avons reçus d'experts en cybercriminalité, nous croyons que payer une rançon n'aurait qu'une chance limitée d'assurer le retour des données de nos clients et d'empêcher leur publication», avait affirmé le patron de Medibank David Koczkar.

Medibank, qui propose une assurance maladie privée aux Australiens désireux de compléter le régime universel public de santé, a informé l'Australian Securities Exchange de la fuite peu avant l'ouverture de la Bourse. «Nous nous attendons à ce que le (pirate) continue à publier des fichiers sur le dark web», a indiqué la société dans une déclaration.

Une fuite aux lourdes conséquences financières pour l'assureur

Justine Gough, en charge des questions de cybersécurité au sein de la police fédérale australienne, a indiqué que le «criminel ou les groupes criminels» responsables du piratage pourraient opérer depuis l'étranger. L'assistant au Trésor australien Stephen Jones les a qualifiés d'«ordures» et d'«escrocs». «Nous ne devrions pas céder face à ces fraudeurs», a-t-il déclaré sur la chaîne Sky News Australia.

Cette violation de sécurité a déjà fait perdre des centaines de millions de dollars à la valorisation boursière de Medibank. Le cours des actions de l'entreprise a plongé de 20% depuis octobre, lorsque des informations sur la fuite de données ont émergé pour la première fois.

Une cyberattaque massive en 2020: L'Australie victime d'une cyberattaque d'un «acteur étatique»

Tandis que Medibank s'efforçait de contenir la fuite, elle se trouvait également menacée par une action collective potentiellement coûteuse. Deux cabinets d'avocats ont annoncé mardi avoir uni leurs forces pour savoir si Medibank a violé ses obligations de protection de la vie privée de ses clients, en vertu de la loi australienne.