Anthem 2015
Un service de renseignement est sorti du deuxième assureur santé américain avec 78,8 millions de dossiers — noms, dates de naissance, adresses, numéros de sécurité sociale.
En février 2015, Anthem — à l’époque deuxième assureur santé des États-Unis — annonce qu’un attaquant a accédé à une base de données contenant les informations personnelles d’environ 78,8 millions d’adhérents actuels et anciens, plus des employés d’organisations clientes dont Anthem administrait les régimes de santé.
Une longue traîne de phishing
L’intrusion commence par un email de spear phishing ouvert par un employé d’une filiale d’Anthem en avril 2014. À partir de ce point d’ancrage, les attaquants passent environ neuf mois à se déplacer latéralement dans le réseau, à récolter des identifiants, et finissent par atteindre une base de données identifiée en interne uniquement comme « data warehouse ». La brèche n’est découverte qu’au moment où un administrateur de bases de données remarque son propre compte utilisateur exécuter des requêtes qu’il n’a pas lancées.
Les données dérobées sont inhabituellement riches. Les assureurs santé maintiennent des identifiants qui suivent les individus d’un employeur à l’autre et à travers les événements de vie — numéros de sécurité sociale, dates de naissance, historiques professionnels — le squelette canonique de la fraude d’identité synthétique. Aucune de ces données n’est apparue à la vente sur les forums criminels dans les années qui ont suivi, un silence que les autorités américaines ont cité comme preuve que l’opération n’était pas à motivation financière.
Une attribution étatique
Le gouvernement américain et des chercheurs extérieurs attribuent Anthem au même appareil de renseignement chinois lié à la brèche de l’OPM révélée quelques mois plus tard. Un acte d’accusation fédéral de 2019 désigne nommément deux ressortissants chinois ; aucun n’a été extradé.
Ce que la chronique retient
Anthem est la brèche qui a élargi la conception publique des cibles de l’espionnage. Les attaquants ne s’intéressaient pas à l’entreprise. Ils s’intéressaient à tous ceux que l’entreprise connaissait — et aux États-Unis, via les assureurs santé, ce sous-ensemble est en pratique la population active.