Liberty Mutual visé : Everest revendique 100 Go de données

Ce qui s'est passé

Le gang ransomware Everest a publié, jeudi 30 avril 2026, le nom de Liberty Mutual sur sa vitrine d'extorsion. L'opérateur affirme détenir plus de 100 gigaoctets de données dérobées dans les systèmes de l'assureur, l'un des plus gros acteurs du marché américain de l'assurance dommages avec environ 50 milliards de dollars de chiffre d'affaires. Le post est accompagné du traditionnel décompte de trois jours, à l'issue duquel les fichiers sont censés être publiés en clair si l'entreprise ne prend pas contact.

D'après les échantillons mis en ligne, le butin contient des informations très sensibles concernant des milliers de souscripteurs particuliers : noms complets, adresses postales, numéros de polices d'assurance, montants de couverture, coordonnées bancaires partielles, parfois copies de pièces d'identité jointes aux dossiers. Plusieurs documents porteraient des dates récentes, ce qui suggère un accès actif aux systèmes dans les semaines précédant la revendication. Cybernews, qui a inspecté les fichiers de preuve, indique que le périmètre couvre principalement la branche assurance personnelle (auto, habitation), mais inclut également des dossiers commerciaux.

Liberty Mutual n'a pas, à ce stade, confirmé publiquement l'incident. L'assureur n'a pas non plus déposé de notification réglementaire auprès de la SEC ni des procureurs généraux des États où la déclaration est obligatoire au-delà d'un certain volume de données personnelles affectées. Cette absence de communication, classique dans les premières heures d'une revendication, n'indique pas en soi un refus de payer ; les négociations entre attaquants et victimes se déroulent quasi systématiquement à huis clos pendant la période du décompte.

Everest n'est pas un nouveau venu. Actif depuis 2020, le groupe a basculé en 2024 vers un modèle de double extorsion combiné à un rôle de courtier d'accès initiaux, revendant à d'autres opérateurs des accès qu'il a lui-même obtenus. Selon les chiffres compilés par ransomware.live, la galaxie Everest a déclaré plus de 116 victimes au cours des douze derniers mois. Sur la même période, l'opérateur a frappé BMW, Collins Aerospace, la division Moyen-Orient de Coca-Cola, ainsi que la marque sportive Under Armour.

Techniquement, Everest privilégie l'accès initial via VPN compromis, comptes Citrix mal protégés ou identifiants achetés sur des marchés noirs. Une fois à l'intérieur, le groupe pratique systématiquement l'exfiltration massive avant tout chiffrement : cest cette donnée volée, et non plus les fichiers chiffrés, qui constitue désormais le levier principal de la rançon. Plusieurs analystes notent qu'Everest s'est rapproché de la mouvance « pure exfiltration », sans déploiement de chiffreur, pour limiter le bruit défensif et accélérer le cycle d'attaque.

Pour Liberty Mutual, l'enjeu dépasse la seule question de la rançon. L'assureur est lui-même un acteur central du marché de la cyberassurance ; ses propres analystes publient régulièrement des bulletins sur les compromissions de messagerie professionnelle et la fraude au virement. Une compromission interne de cette ampleur serait donc particulièrement embarrassante d'un point de vue réputationnel, surtout face à des clients qui achètent des polices spécifiques contre ce type de risque.

Le calendrier coïncide avec une vague d'attaques particulièrement dense ciblant le secteur de l'assurance et de la santé en Amérique du Nord. Itron, fournisseur de compteurs intelligents, a confirmé fin avril une intrusion sur ses systèmes IT internes. Medtronic a reconnu une fuite massive imputée à ShinyHunters portant sur 9 millions d'enregistrements. Trellix a admis qu'un dépôt de code source avait été compromis. Sources : Cybernews, ransomware.live, BleepingComputer.

Pourquoi c'est important

Une fuite chez un assureur ne se limite pas à un incident périmétrique. Les bases de souscription contiennent des données qui croisent identité, géolocalisation, patrimoine, état de santé et historique de sinistres. Combinées à d'autres lots issus d'Anthem, MOVEit ou des récentes fuites Snowflake, elles permettent à des opérateurs de fraude au sinistre, d'ingénierie sociale ciblée ou de SIM swapping d'affiner considérablement leurs scénarios. La valeur de revente sur les forums clandestins d'un dossier d'assurance complet est aujourd'hui supérieure à celle d'une simple paire identifiant/mot de passe.

Le cas Liberty Mutual illustre aussi la mutation d'Everest vers un rôle hybride. Le groupe ne se contente plus de chiffrer ou d'exfiltrer pour son propre compte ; il revend des accès à d'autres affiliés, ce qui complique l'attribution et brouille les négociations. Pour les RSSI, cela signifie qu'un même incident peut donner lieu à plusieurs vagues d'extorsion successives, parfois orchestrées par des acteurs différents qui se réclament tous de la même intrusion initiale. Le coût total dépasse alors largement la rançon affichée par le premier groupe.

D'un point de vue réglementaire, les notifications imposées par les lois étatiques américaines (en particulier celles de la Californie et de l'État de New York) déclenchent des obligations en cascade : information individuelle des assurés, déclaration aux autorités de supervision des assurances, parfois offre de surveillance de crédit prolongée. La FTC scrute désormais étroitement les délais de notification dans le secteur financier, et plusieurs accords de consentement récents ont condamné des assureurs pour avoir tardé à informer leurs clients après une compromission.

Pour les entreprises clientes de Liberty Mutual, il est urgent d'auditer leurs propres polices : quelles données ont été partagées au moment de la souscription, quels schémas d'indemnisation contiennent des informations bancaires nominatives, quels courriels échangés avec les gestionnaires de sinistres pourraient se retrouver dans le lot publié. Les équipes sécurité doivent aussi se préparer à une vague de tentatives de phishing exploitant le nom de l'assureur, scénario quasi mécanique après chaque grande revendication.

Ce qu'il faut retenir

• Everest revendique plus de 100 Go de données dérobées chez Liberty Mutual avec un compte à rebours actif.
• Les assureurs concentrent une donnée à très haute valeur de fraude : identité, finance, santé, sinistres.
• Préparer dès maintenant une réponse phishing et auditer les données partagées avec l'assureur.