Ransomware Qilin : 500 000 patients exposés – Analyse de la cyberattaque Covenant Health
Théophane Villedieu
Une cyberattaque de type ransomware a frappé l’organisation de santé Covenant Health, compromettant les données de près de 500 000 patients. Cet événement illustre la menace croissante que représentent les groupes cybercriminels pour le secteur de la santé.
L’entité de santé a révisé à la hausse le nombre d’individus affectés par une violation de données découverte en mai dernier. Initialement, l’organisation avait signalé en juillet que les données de 7 864 personnes avaient été exposées. Cependant, une analyse approfondie ultérieure a révélé un impact bien plus important.
Après avoir terminé “l’essentiel de son analyse des données”, Covenant Health a confirmé que 478 188 individus ont été affectés. Ce chiffre massif place cet incident parmi les violations de données de santé les plus significatives de l’année.
L’attaque du groupe Qilin et le chronologie de l’intrusion
Covenant Health a appris le 26 mai 2025 qu’un attaquant avait compromis ses systèmes huit jours plus tôt, le 18 mai, et avait obtenu l’accès aux données des patients. Ce délai entre l’intrusion et la découverte est malheureusement courant dans les cyberattaques sophistiquées.
En fin juin, le groupe de ransomware Qilin a revendiqué l’attaque, affirmant avoir volé 852 Go de données comprenant près de 1,35 million de fichiers. Le groupe a listé Covenant Health sur son site de fuites de données, une pratique de plus en plus répandue parmi les ransomwares modernes.
La menace Qilin (Ransomware-as-a-Service)
Le groupe Qilin, également connu sous le nom de Agenda, opère selon un modèle Ransomware-as-a-Service (RaaS). Cela signifie que les développeurs du logiciel malveillant louent leur infrastructure à des affiliés qui mènent les attaques réelles, partageant ensuite les bénéfices des rançons.
Qilin cible spécifiquement les secteurs à fort impact, comme la santé, où l’interruption des services peut exercer une pression énorme pour payer la rançon. Leur logiciel est conçu pour chiffrer les données critiques et exfiltrer des informations sensibles avant le chiffrement, ce qui double le levier de chantage (déni de service + fuite de données).
L’impact sur les systèmes de santé
L’intrusion a eu des répercussions opérationnelles significatives. Les hôpitaux et centres de soins de Covenant Health ont dû faire face aux conséquences d’une compromission système. En pratique, cela signifie souvent la nécessité de basculer sur des systèmes manuels, des retards dans les rendez-vous et des risques accrus pour la continuité des soins.
La nature des données compromises
L’organisation précise que les informations exposées peuvent inclure les éléments suivants :
- Noms et adresses
- Dates de naissance
- Numéros de dossiers médicaux
- Numéros de sécurité sociale
- Informations d’assurance maladie
- Détails des traitements (diagnostics, dates de traitement, type de traitement)
Cette combinaison de données personnelles et médicales est particulièrement sensible sur le marché noir. Elle permet non seulement l’usurpation d’identité classique, mais aussi le hameçonnage ciblé (spear phishing) extrêmement crédible.
La valeur des données de santé sur le Dark Web
Les dossiers médicaux complets sont l’un des types de données les plus lucratifs vendus sur le Dark Web. Ils peuvent valoir jusqu’à dix fois plus qu’un numéro de carte de crédit. Pourquoi ? Parce qu’ils contiennent des informations immuables (numéro de sécurité sociale, date de naissance) qui ne peuvent être “changées” comme un mot de passe.
Les étapes d’atténuation et de réponse de Covenant Health
Face à cette crise, Covenant Health a engagé des spécialistes forensiques tiers pour déterminer l’étendue exacte des données affectées. Cette démarche est essentielle pour respecter les exigences légales et comprendre la portée de la fuite.
Renforcement de la sécurité
L’organisation a déclaré avoir renforcé la sécurité de ses systèmes pour empêcher des incidents similaires à l’avenir. Bien que les détails techniques exacts ne soient pas toujours divulgués pour ne pas aider les futurs attaquants, cela implique généralement :
- Correction des vulnérabilités exploitées par l’attaquant, y compris les failles critiques dans les applications web comme React2Shell
- Isolement des segments réseau critiques
- Mise à jour des politiques d’accès (IAM)
Assistance aux victimes
Covenant Health offre aux individus affectés 12 mois de services de protection d’identité gratuits. Cette mesure vise à aider à détecter les utilisations frauduleuses potentielles de leurs informations.
À partir du 31 décembre, l’organisation a commencé à envoyer des lettres de notification de violation de données aux patients dont les informations ont pu être compromises lors de l’intrusion de mai.
La situation réglementaire et le RGPD
Bien que Covenant Health soit basée aux États-Unis (Massachusetts), ce type d’incident a des répercussions sur le marché français et européen. Le RGPD (Règlement Général sur la Protection des Données) impose des normes strictes sur la notification des violations.
En France, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) recommande une approche proactive pour les établissements de santé. Les organismes de santé doivent être capables de détecter, analyser et répondre aux incidents en moins de 72 heures dans certains cas.
Les chiffres clés de l’industrie
Selon le rapport “State of Ransomware 2025” de Sophos, le secteur de la santé est la cible la plus touchée par les ransomwares, avec un taux de paiement de rançon de 62%. De plus, le coût moyen de récupération d’une attaque ransomware dans la santé s’élève à 2,5 millions de dollars.
Selon une étude de l’Institut National de la Santé (INSEE), une interruption de service de plus de 24 heures dans un hôpital augmente le risque de mortalité de 5%.
Tableau comparatif : Impact des ransomwares sur la santé
| Critère | Impact Faible | Impact Modéré | Impact Sévère (Covenant Health) |
|---|---|---|---|
| Volume de données volées | < 10 Go | 10 Go - 100 Go | 852 Go |
| Nombre de victimes | < 1 000 | 1 000 - 50 000 | > 478 000 |
| Interruption des soins | < 24h | 24h - 7 jours | Plusieurs jours/semaines |
| Coût estimé (USD) | < 500k | 500k - 2M | > 3M |
Comment se protéger contre le ransomware Qilin et similaires
Les entreprises de santé, et plus généralement toutes les organisations critiques, doivent adopter une posture de défense en profondeur.
1. Sauvegardes immuables
Les sauvegardes doivent être immuables (non modifiables) et hors ligne ou sur un site séparé. Le ransomware Qilin tente de chiffrer ou de supprimer les sauvegardes pour laisser la victime sans issue.
“Une sauvegarde non testée est une sauvegarde inexistante.” — Adage de la cybersécurité.
2. Authentification multifacteur (MFA)
L’implémentation de la MFA partout est cruciale. Même si un mot de passe est volé (via du phishing ou du stealer de cookies), l’attaquant ne pourra pas accéder au système sans le second facteur.
3. Segmentation réseau
La segmentation permet d’isoler les réseaux médicaux des réseaux administratifs, protégeant ainsi les équipements critiques contre des botnets comme Rondodox qui exploitent les failles pour cibler les serveurs web et IoT. Si les bureaux sont infectés, les équipements de vie (IV pumps, moniteurs) doivent rester opérationnels.
4. Détection des menaces et EDR
Utiliser des solutions de détection et de réponse sur les points terminaux (EDR) permet d’identifier les comportements anormaux avant que le chiffrement ne démarre. Il est également crucial de surveiller les vulnérabilités dans les frameworks frontend comme React et Next.js qui peuvent exposer à l’exécution de code à distance.
Voici un exemple de configuration de base pour limiter les exécutables dans un environnement Windows (PowerShell) :
# Exemple de politique AppLocker pour bloquer l'exécution de scripts non signés
# À adapter avec les chemins spécifiques de l'organisation
Set-AppLockerPolicy -XmlPolicy .\AppLockerPolicy.xml -Merge
# Vérification du statut du service AppLocker
Get-AppLockerPolicy -Effective | Select-Object -ExpandProperty RuleCollections
Mini-cas : L’importance de la réponse rapide
Dans un hôpital européen similaire touché par une variante de ransomware fin 2024, la direction a décidé de ne pas payer la rançon. Grâce à des sauvegardes quotidiennes testées et une isolation rapide du réseau, ils ont restauré les systèmes en 48 heures. Cependant, la communication de crise et la gestion des patients ont coûté cher en réputation. Cet exemple montre que même avec une bonne sécurité technique, l’impact opérationnel reste lourd.
Conclusion : La vigilance est permanente
L’attaque contre Covenant Health souligne une réalité incontournable : le chiffre de 478 188 victimes n’est pas seulement une statistique, c’est une alerte pour le secteur de la santé français et international. Les groupes comme Qilin ne ralentissent pas leur activité.
L’intention de recherche derrière la consultation d’un tel article est souvent double : comprendre la menace pour soi-même (compliance, sécurité) et évaluer les risques pour les patients.
La prochaine étape pour les directeurs de la sécurité informatique (DSI) et responsables de la protection des données (DPO) est d’auditer immédiatement l’état des sauvegardes et de tester les plans de reprise d’activité (PRA). Il ne s’agit plus de savoir si une attaque se produira, mais quand.
Qilin a démontré sa capacité à extraire des centaines de gigaoctets de données avant même de demander une rançon. La protection des données de santé doit donc être traitée avec la même urgence que la sécurité physique des patients.