L’une des plus grandes fuites de données de santé de l’année

NYC Health and Hospitals affirme qu’une cyberattaque a exposé des informations extrêmement sensibles appartenant à au moins 1,8 million de personnes, ce qui en fait l’une des plus grandes fuites de données de santé signalées en 2026 jusqu’à présent. Le système de santé public a indiqué que des pirates ont volé des données personnelles, des dossiers médicaux et des scans biométriques, notamment des empreintes digitales et des empreintes de paume.

La seule ampleur de l’incident en ferait déjà un événement majeur. La nature des données l’aggrave encore. Contrairement aux mots de passe, les identifiants biométriques ne peuvent pas simplement être réinitialisés et réémis. Une fois compromis, ils créent un risque durable pour les personnes concernées.

Une longue présence dans le réseau

Selon l’avis de violation de l’organisation, tel que décrit dans le rapport fourni, l’attaque a été détectée le 2 février 2026, mais les intrus ont eu accès au réseau de novembre 2025 à février 2026. Pendant cette période, ils ont copié des fichiers depuis ses systèmes.

L’organisation a indiqué que la compromission provenait d’une faille chez un fournisseur tiers non identifié. Ce détail renforce un schéma récurrent de la cybersécurité dans la santé : même les grandes institutions dotées d’une infrastructure étendue peuvent être exposées par l’intermédiaire de prestataires connectés.

PeopleSoft 0-day affecting hundreds of organizations steals gigabytes of data
More in News

Les intrusions zero-day dans PeopleSoft s’étendent avant l’arrivée du correctif

Une faille SSRF critique de PeopleSoft, suivie sous CVE-2026-35273, a été exploitée pendant plus de deux semaines avant sa divulgation par Oracle, les chercheurs reliant les attaques à ShinyHunters et à des activités d’extorsion.

Read article

Les données volées étaient d’une ampleur inhabituelle

NYC Health and Hospitals a déclaré que les informations exposées varient selon les personnes, mais peuvent inclure des détails d’assurance et de police, des diagnostics, des médicaments, des tests, des images médicales, des données de facturation et de réclamation, des informations de paiement et des documents d’identité officiels tels que des numéros de sécurité sociale, des passeports et des permis de conduire.

Le rapport indique aussi que des données géolocalisées précises ont été volées, ce qui suggère que les images téléchargées de documents d’identité pouvaient contenir des informations de localisation. Si cela est confirmé sur de nombreux dossiers, les implications en matière de vie privée iraient au-delà du risque classique de vol d’identité.

Pourquoi l’aspect biométrique se distingue

L’inclusion des empreintes digitales et des empreintes de paume accroît fortement la gravité de la faille. Les données biométriques sont durables. Si elles sont détournées ou redistribuées, les personnes touchées disposent de beaucoup moins d’options de recours qu’après la divulgation d’une carte bancaire ou d’un mot de passe.

Le système de santé n’a pas expliqué pourquoi il stockait des données biométriques, même si le rapport note que les candidats à un emploi doivent généralement fournir leurs empreintes digitales pour les vérifications de casier judiciaire. On ne savait pas encore si les biométries des patients étaient également concernées.

Here’s everything new in iOS 27 and more, per Apple’s keynote list - 9to5Mac
More in News

La séparation des modèles fondamentaux d’Apple indique une stratégie d’IA hybride

Le texte source fourni de 9to5Mac laisse entendre qu’Apple présente de nouveaux modèles fondamentaux entre IA embarquée et IA cloud, suggérant une architecture hybride plutôt qu’une approche à modèle unique.

Read article

Un avertissement pour la santé publique

NYC Health and Hospitals est le plus grand système public de santé des États-Unis et dessert plus d’un million de New-Yorkais, dont beaucoup ne sont pas assurés ou bénéficient d’avantages de santé financés par l’État. Ce profil rend la faille particulièrement lourde de conséquences. Les systèmes de santé publics détiennent de grands volumes de dossiers sensibles tout en fonctionnant sous de fortes contraintes budgétaires, techniques et opérationnelles.

L’incident rappelle une fois de plus que le secteur de la santé reste une cible privilégiée pour les cybercriminels motivés par le gain financier. Les dossiers médicaux et d’identité ont de la valeur, sont difficiles à remplacer et sont souvent dispersés dans des réseaux complexes de fournisseurs. Une fois qu’un point faible est trouvé, les dommages en aval peuvent être immenses.

Pour les personnes concernées, la question immédiate est pratique : quelles protections, quelles notifications et quel suivi à long terme suivront. Pour le secteur dans son ensemble, le message est encore plus clair. Dans la santé, l’exposition via des tiers et la détection tardive suffisent encore à transformer une faille de système en problème durable de sécurité personnelle.

Cet article s’appuie sur un reportage de TechCrunch. Lire l’article original.

Originally published on techcrunch.com