En janvier 2024, UnitedHealth est victime d’une cyberattaque d’une ampleur inédite. Coût total : plus de deux milliards de dollars, sans compter 190 millions de patients impactés — un Américain sur deux.
L’enquête révèle que pour s’introduire dans les systèmes de UnitedHealth et déployer le ransomware, les pirates ont exploité les identifiants personnels d’un employé, exposés dans une brèche de données. Celui-ci utilisait le même mot de passe pour ses comptes personnels et professionnels. Les attaquants ont ainsi pu accéder au système sans aucune interaction avec le collaborateur.
Cette attaque met en lumière trois failles majeures, souvent négligées. D’abord, l’employé n’a reçu aucun avertissement indiquant que ses identifiants circulaient dans une fuite. Ensuite, l’absence d’authentification forte a laissé la porte ouverte aux attaquants. Enfin, la visibilité publique de l’employé — sur les réseaux sociaux notamment — a permis aux hackers de faire le lien entre ses deux vies.
Les cyberattaquants ont exploité plusieurs failles dans la posture numérique de l’employé pour accéder aux systèmes de l’entreprise. Mieux le former n’y aurait rien changé.
La plupart des attaques exploitent des erreurs de configuration ou de simples négligences. Tout commence par des réglages personnels du quotidien numérique.
Premier réflexe : revoir ses paramètres LinkedIn. Des détails de votre profil sont visibles jusqu’au troisième cercle de connexions, soit plus de 60 millions de personnes. Parmi elles, des attaquants, capables de cartographier votre entreprise, repérer les fonctions sensibles ou cibler les nouveaux arrivants. Limiter la visibilité de votre nom de famille leur complique la tâche, sans nuire à votre visibilité pour autant.
Deuxième réflexe : sécuriser ses messageries, en particulier WhatsApp. Par défaut, l’application montre votre photo, statut et dernière connexion à toute personne ayant votre numéro. Ces données, anodines en apparence, peuvent servir à des arnaques par usurpation d’identité. Il suffit de restreindre leur visibilité à « Mes contacts » dans les paramètres.
Troisième réflexe : utiliser un code de verrouillage robuste. Beaucoup se contentent encore de « 1234 » ou « 0000 ». Une étude montre qu’un quart des téléphones peuvent être déverrouillés avec seulement 20 combinaisons testées. Pourtant, le téléphone est désormais une porte d’entrée vers les messageries, les applications bancaires et parfois… les outils professionnels.
Avant une attaque ciblée, les hackers mènent un travail d’investigation sur leur victime. Cette phase, souvent longue et minutieuse, leur permet de nourrir le prétexte qu’ils vont utiliser dans l’attaque.
L’intelligence artificielle change radicalement la donne. Elle automatise cette phase de repérage, en parcourant le web pour collecter et croiser des informations en quelques secondes. Ce qui prenait autrefois des heures devient instantané. L’IA permet ainsi de créer des attaques personnalisées, crédibles, multilingues et adaptées à chaque cible, avec une efficacité redoutable.
Et ce n’est qu’un début. Récemment, le nouveau protocole MCP permet maintenant de piloter directement des applications à partir d’une simple instruction. Les LLM pourront ainsi générer, diffuser et exécuter toute une attaque de manière autonome, sans écrire une seule ligne de code. Ces campagnes passeront par des canaux jusqu’ici peu accessibles, comme WhatsApp ou les réseaux sociaux.
Dans ce nouveau paysage, les anciennes approches de défense ne suffisent plus. Il ne s’agit plus seulement de cultiver les employés. Il s’agit aussi de repenser leurs usages et de réduire leur exposition. Pour affamer les modèles. Et ne pas devenir leur prochaine cible.
