Change Healthcare

En février 2024, un groupe de ransomware se présentant comme ALPHV / BlackCat chiffre les systèmes de Change Healthcare, filiale de UnitedHealth qui se trouve au centre de la facturation médicale américaine. Environ une demande de remboursement médicale sur trois aux États-Unis passe par Change. Lorsque Change tombe, une fraction non négligeable du système de santé américain bascule en mode manuel.

Les conséquences au comptoir

Pendant des semaines, les pharmacies indépendantes ne peuvent plus traiter les remboursements et avancent les médicaments à crédit ou refusent les patients. De petits cabinets se retrouvent à court de trésorerie faute de pouvoir facturer les assureurs. Des hôpitaux reportent des interventions non urgentes. L’American Medical Association et l’American Hospital Association adressent des lettres ouvertes au gouvernement fédéral réclamant des filets de sécurité financiers d’urgence.

L’intrusion elle-même n’est pas techniquement nouvelle. ALPHV / BlackCat a utilisé un jeu d’identifiants pour un service d’accès distant sans authentification multi-facteurs. Ce qui est atypique, c’est le rayon d’explosion. Une fonction administrative ennuyeuse, suffisamment concentrée, devient un point d’étranglement national.

Un paiement, une trahison, et une seconde extorsion

UnitedHealth aurait payé environ vingt-deux millions de dollars en bitcoins. La direction d’ALPHV semble avoir ensuite floué l’affilié qui avait réellement exécuté la compromission, partant avec la rançon et laissant l’affilié avec les données encore non publiées. L’affilié remet les données en vente sous une autre marque, RansomHub, déclenchant un second round d’extorsion.

Ce que la chronique retient

Change Healthcare est l’image du risque de concentration dans la chaîne d’approvisionnement médicale. L’affaire a aussi exposé les limites du « nous avons payé la rançon » comme événement de clôture : dans le modèle affilié moderne, payer une entité n’achète pas nécessairement le silence de la suivante.