Aflac notifie 22,65 millions de personnes après le vol de données personnelles et médicales. Scattered Spider est suspecté.
En bref
- L'assureur américain Aflac notifie 22,65 millions de personnes du vol de leurs données personnelles et médicales.
- L'attaque, attribuée à une campagne ciblant le secteur de l'assurance, aurait des liens avec le groupe Scattered Spider.
- Les données compromises incluent noms, adresses, numéros de sécurité sociale et informations de santé.
Ce qui s'est passé
Aflac, l'un des plus grands assureurs complémentaires aux États-Unis, a révélé que les données personnelles de 22,65 millions de personnes ont été dérobées lors d'une intrusion détectée le 12 juin 2025 sur son réseau américain. L'entreprise procède actuellement à la notification individuelle des victimes, conformément à la réglementation en vigueur.
Les données volées comprennent des noms, adresses postales, numéros de sécurité sociale, identifiants de compte, ainsi que des informations médicales et d'assurance santé. Selon Aflac, les attaquants n'ont pas déployé de ransomware et les opérations de l'entreprise n'ont pas été interrompues, ce qui suggère une exfiltration ciblée de données plutôt qu'une attaque destructive.
Aflac n'a pas nommé le groupe responsable, mais a précisé que l'incident s'inscrivait dans « une campagne contre l'industrie de l'assurance ». Cette formulation coïncide avec les alertes du Google Threat Intelligence Group, qui avait signalé à la même période que le groupe Scattered Spider recentrait ses opérations sur les compagnies d'assurance, après avoir ciblé les secteurs des télécommunications et de la tech.
Pourquoi c'est important
Par son ampleur, cette fuite se classe parmi les plus importantes de l'année 2025-2026. La nature des données volées — numéros de sécurité sociale combinés à des informations médicales — crée un risque élevé d'usurpation d'identité et de fraude à l'assurance pour les victimes. Ces données ont une valeur particulièrement élevée sur les marchés cybercriminels, car elles permettent de monter des dossiers complets d'identité synthétique.
L'implication présumée de Scattered Spider, un groupe connu pour ses techniques sophistiquées d'ingénierie sociale et ses attaques contre MGM Resorts et Caesars Entertainment en 2023, montre que les acteurs menaçants évoluent constamment vers de nouvelles cibles sectorielles. Le secteur de l'assurance, qui détient des volumes massifs de données sensibles, devient une cible prioritaire.
Ce qu'il faut retenir
- 22,65 millions de personnes sont concernées par le vol de données personnelles, financières et médicales chez Aflac.
- Le groupe Scattered Spider est suspecté, dans le cadre d'une campagne ciblant spécifiquement le secteur de l'assurance.
- Les entreprises du secteur doivent renforcer leurs défenses contre l'ingénierie sociale et auditer leurs accès aux bases de données sensibles.
Quels risques pour les personnes dont les données ont été volées chez Aflac ?
Les victimes sont exposées à l'usurpation d'identité, la fraude à l'assurance et l'ouverture frauduleuse de comptes. Aflac propose un service de surveillance du crédit gratuit. Il est recommandé de geler son crédit auprès des agences de notation, de surveiller ses relevés bancaires et de rester vigilant face aux tentatives de phishing exploitant les données volées.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
Flowise AI : faille CVSS 10 exploitée sur 12 000 serveurs
CVE-2025-59528 (CVSS 10.0) permet une RCE sur Flowise AI. Plus de 12 000 serveurs exposés sont activement ciblés. Mise à jour vers 3.0.6 urgente.
FBI : des hackers chinois piratent le système de surveillance
Le FBI confirme une compromission majeure de son système de surveillance par Salt Typhoon, un groupe APT chinois. Les métadonnées du0027écoutes exposées.
Chrome Zero-Day CVE-2026-5281 : faille WebGPU exploitée
Google corrige CVE-2026-5281, une faille zero-day WebGPU dans Chrome activement exploitée. Mise à jour critique requise pour tous les navigateurs Chromium.
Commentaires (1)
Laisser un commentaire