Aflac notifie 22,65 millions de personnes après le vol de données personnelles et médicales. Scattered Spider est suspecté.
En bref
- L'assureur américain Aflac notifie 22,65 millions de personnes du vol de leurs données personnelles et médicales.
- L'attaque, attribuée à une campagne ciblant le secteur de l'assurance, aurait des liens avec le groupe Scattered Spider.
- Les données compromises incluent noms, adresses, numéros de sécurité sociale et informations de santé.
Ce qui s'est passé
Aflac, l'un des plus grands assureurs complémentaires aux États-Unis, a révélé que les données personnelles de 22,65 millions de personnes ont été dérobées lors d'une intrusion détectée le 12 juin 2025 sur son réseau américain. L'entreprise procède actuellement à la notification individuelle des victimes, conformément à la réglementation en vigueur.
Les données volées comprennent des noms, adresses postales, numéros de sécurité sociale, identifiants de compte, ainsi que des informations médicales et d'assurance santé. Selon Aflac, les attaquants n'ont pas déployé de ransomware et les opérations de l'entreprise n'ont pas été interrompues, ce qui suggère une exfiltration ciblée de données plutôt qu'une attaque destructive.
Aflac n'a pas nommé le groupe responsable, mais a précisé que l'incident s'inscrivait dans « une campagne contre l'industrie de l'assurance ». Cette formulation coïncide avec les alertes du Google Threat Intelligence Group, qui avait signalé à la même période que le groupe Scattered Spider recentrait ses opérations sur les compagnies d'assurance, après avoir ciblé les secteurs des télécommunications et de la tech.
Pourquoi c'est important
Par son ampleur, cette fuite se classe parmi les plus importantes de l'année 2025-2026. La nature des données volées — numéros de sécurité sociale combinés à des informations médicales — crée un risque élevé d'usurpation d'identité et de fraude à l'assurance pour les victimes. Ces données ont une valeur particulièrement élevée sur les marchés cybercriminels, car elles permettent de monter des dossiers complets d'identité synthétique.
L'implication présumée de Scattered Spider, un groupe connu pour ses techniques sophistiquées d'ingénierie sociale et ses attaques contre MGM Resorts et Caesars Entertainment en 2023, montre que les acteurs menaçants évoluent constamment vers de nouvelles cibles sectorielles. Le secteur de l'assurance, qui détient des volumes massifs de données sensibles, devient une cible prioritaire.
Ce qu'il faut retenir
- 22,65 millions de personnes sont concernées par le vol de données personnelles, financières et médicales chez Aflac.
- Le groupe Scattered Spider est suspecté, dans le cadre d'une campagne ciblant spécifiquement le secteur de l'assurance.
- Les entreprises du secteur doivent renforcer leurs défenses contre l'ingénierie sociale et auditer leurs accès aux bases de données sensibles.
Quels risques pour les personnes dont les données ont été volées chez Aflac ?
Les victimes sont exposées à l'usurpation d'identité, la fraude à l'assurance et l'ouverture frauduleuse de comptes. Aflac propose un service de surveillance du crédit gratuit. Il est recommandé de geler son crédit auprès des agences de notation, de surveiller ses relevés bancaires et de rester vigilant face aux tentatives de phishing exploitant les données volées.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
Microsoft lance trois modèles IA maison pour concurrencer OpenAI
Microsoft dévoile trois modèles IA maison — MAI-Transcribe-1, MAI-Voice-1 et MAI-Image-2 — réduisant sa dépendance envers OpenAI.
BlueHammer : un chercheur publie un zero-day Windows critique
Un chercheur en sécurité frustré publie BlueHammer, un exploit zero-day Windows permettant une élévation de privilèges SYSTEM. Aucun correctif disponible.
Microsoft force la mise à jour vers Windows 11 25H2 sur les PC non gérés
Microsoft lance la mise à jour forcée de Windows 11 24H2 vers 25H2 pour les PC non gérés, avant la fin de support prévue en octobre 2026.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire