Les pirates informatiques de UnitedHealth ont utilisé des identifiants de connexion volés pour s'introduire dans le système, selon le directeur général

Des pirates informatiques se sont introduits dans l'unité technologique de UnitedHealth UNH le 12 février en utilisant des identifiants de connexion volés qui leur ont permis d'accéder à distance à son réseau, a déclaré le plus grand assureur de santé américain devant un groupe d'experts cette semaine.

Le témoignage du directeur général de UnitedHealth, Andrew Witty, (link), devant la commission de l'énergie et du commerce de la Chambre des représentants fera suite à des semaines de perturbation des soins de santé américains (link) depuis que l'unité Change Healthcare de l'assureur a été piratée.

Le matin du 21 février, le gang cybercriminel AlphV, alias BlackCat, a verrouillé les systèmes de Change Healthcare et demandé une rançon pour les déverrouiller, dira M. Witty à la commission de la Chambre des représentants, selon une copie de son témoignage écrit publiée sur le site web de la commission lundi.

"Ne connaissant pas le point d'entrée de l'attaque à ce moment-là, nous avons immédiatement coupé la connectivité avec les centres de données de Change afin d'éliminer le risque d'une nouvelle infection", indique le témoignage.

Les criminels ont utilisé des identifiants de connexion compromis pour accéder à distance à un portail Citrix de Change Healthcare qui ne disposait pas d'une authentification multifactorielle, selon le témoignage. Ce portail, proposé par la société technologique privée Citrix Systems, permet d'accéder à distance aux postes de travail d'une organisation.

L'authentification multifactorielle est une couche de sécurité largement prescrite qui empêche les pirates d'utiliser des mots de passe volés pour pénétrer dans les systèmes. La raison pour laquelle le portail Change Healthcare ne disposait pas de cette mesure de sécurité n'est pas claire, et un porte-parole de UnitedHealth n'a pas répondu aux questions à ce sujet.

Un porte-parole de Citrix n'a pas répondu immédiatement à une demande de commentaire. Les autorités américaines ont émis de nombreux avertissements concernant les failles de sécurité des outils Citrix (link) à la fin de l'année dernière, certains d'entre eux étant utilisés pour pénétrer dans les groupes de soins de santé (link).

L'audition devant la sous-commission du contrôle et des enquêtes du panel se concentrera sur l'impact de la cyberattaque sur les patients et les prestataires.

UnitedHealth a collaboré avec le FBI et d'importantes sociétés de cybersécurité pour enquêter sur le piratage. Des experts en sécurité de Google GOOG, Microsoft MSFT, Cisco CSCO et Amazon AMZN ont travaillé avec des équipes de Mandiant et Palo Alto Networks PANW pour sécuriser les systèmes de Change Healthcare après la violation, selon le témoignage.

La semaine dernière, M. Witty a déclaré que l'entreprise avait payé une rançon aux pirates pour garantir le décryptage des systèmes de Change Healthcare, bien que le montant du paiement ne soit pas connu.

La société s'est démenée pour limiter l'impact sur le traitement des paiements de soins de santé dans tout le pays. Change traite 50 % de toutes les demandes de remboursement de frais médicaux aux États-Unis.

Au 26 avril, UnitedHealth Group avait accordé plus de 6,5 milliards de dollars de paiements accélérés et de prêts sans intérêt ni frais à des milliers de prestataires de soins de santé, selon le témoignage de M. Witty.