Fuite de données de Medibank : comment s'est-elle produite et comment l'éviter ?

1. Introduction#

En octobre 2022, Medibank, l'une des plus grandes mutuelles de santé privées d'Australie, a subi une fuite de données qui a exposé les informations personnelles et médicales sensibles de 9,7 millions de clients. Cet incident a montré les graves conséquences du non-respect des mesures de base de cybersécurité. Comprendre comment la faille s'est produite et quelles lacunes de sécurité ont été exploitées est essentiel pour prévenir des attaques similaires à l'avenir.

C'est pourquoi cet article de blog abordera ces questions principales :

• Quelles sont les vulnérabilités qui ont permis la faille de Medibank ?
• Quelles contre-mesures auraient pu empêcher la fuite de données de Medibank ?

2. Comment la fuite de données de Medibank s'est-elle produite ?#

La fuite de données de Medibank ne résultait pas de méthodes de piratage sophistiquées. Au lieu de cela, elle s'est produite en raison d'une série d'erreurs de sécurité évitables. Ces oublis ont permis aux cybercriminels de s'introduire dans le réseau de Medibank, de voler de grandes quantités d'informations sensibles, puis d'exiger une rançon.

2.1 Identifiants volés et points d'entrée non sécurisés#

L'attaque a commencé lorsqu'un prestataire informatique tiers, engagé par Medibank, a stocké les identifiants de connexion de niveau administrateur de Medibank sur un appareil personnel. Cet appareil a été infecté par un malware, ce qui a permis aux attaquants d'obtenir les identifiants d'utilisateur. Parce que le système d'accès à distance de Medibank n'exigeait pas d'authentification multifacteur à l'époque, les attaquants ont pu se connecter au réseau de l'entreprise en utilisant ces identifiants volés, se faisant passer pour des utilisateurs autorisés.

2.2 Vol de données et réponse tardive de Medibank#

Une fois à l'intérieur du système de Medibank, les criminels ont installé un script pour rechercher et extraire des informations clients sensibles. Ils ont compressé ces données et les ont transférées hors du réseau via une porte dérobée intégrée (backdoor). Bien que les outils de sécurité de l'entreprise aient signalé des activités suspectes, ces alertes n'ont pas été traitées avec l'urgence requise. Au moment où l'équipe de sécurité de Medibank a finalement réagi et bloqué l'accès des attaquants, 200 Go de données personnelles avaient déjà été volés.

2.3 Demandes de rançon et fuites de données#

Les informations volées comprenaient :

• Noms
• Dates de naissance
• Détails du passeport
• Numéros Medicare

En possession de ces données, les attaquants ont exigé une rançon de 10 millions de dollars US pour ne pas les divulguer au public. Medibank a refusé de payer, estimant que cela encouragerait d'autres attaques, et les criminels ont donc commencé à divulguer des portions des données sur le dark web en réponse, ce qui a mis une pression supplémentaire sur l'entreprise.

3. Principales vulnérabilités de la sécurité de Medibank#

La faille de Medibank a révélé plusieurs faiblesses critiques dans les défenses de cybersécurité de l'organisation. En omettant de mettre en œuvre ces contrôles de sécurité essentiels, Medibank a créé des opportunités pour les attaquants d'exploiter un accès privilégié, de naviguer dans les systèmes internes et d'exfiltrer des données sensibles. Voici les principales vulnérabilités qui ont contribué à l'incident :

3.1 Manque de protection des identifiants#

L'échec de Medibank à protéger les identifiants privilégiés a permis aux attaquants de contourner les mesures de sécurité initiales, car il n'y avait pas de 2FA/MFA en place pour ensuite utiliser la connexion au sein du système.

3.2 Absence du principe de moindre privilège (POLP)#

Le compte employé acheté par les pirates sur le dark web disposait de plus d'accès que nécessaire pour effectuer ses tâches quotidiennes, augmentant ainsi le risque de compromission d'un compte à privilèges élevés. Cela a permis aux attaquants d'accéder directement aux données critiques.

3.3 Segmentation de réseau insuffisante#

Le manque de segmentation du réseau a permis aux attaquants de localiser et d'exfiltrer plus facilement des données sensibles. Sans zones isolées ni contrôles d'accès robustes, les attaquants ont pu accéder à la base de données sans rencontrer de barrières significatives.

3.4 Détection tardive des portes dérobées#

Bien qu'elle ait finalement détecté la faille, la réponse tardive de Medibank a permis aux attaquants de télécharger une quantité importante de données avant de stopper la cyberattaque.

4. Comment la faille de Medibank aurait-elle pu être évitée ?#

Voici quatre stratégies qui auraient pu atténuer, voire empêcher, la fuite de données de Medibank :

4.1 Mettre en place une formation à la sensibilisation aux cybermenaces#

Apprendre aux employés à reconnaître les tentatives de phishing et le vol d'identifiants peut réduire le risque de compromission initiale, car le phishing reste l'une des méthodes les plus courantes pour le vol d'identifiants.

4.2 Appliquer le principe de moindre privilège (POLP)#

Le POLP limite l'accès aux systèmes et aux données sensibles uniquement à ceux qui en ont besoin. En appliquant le POLP, Medibank aurait pu ralentir les attaquants ou les empêcher complètement d'accéder aux bases de données critiques.

4.3 Utiliser l'authentification multifacteur (MFA)#

La MFA ajoute une couche de sécurité supplémentaire en exigeant des étapes de vérification additionnelles au-delà d'un simple mot de passe. Selon Microsoft, la MFA peut empêcher jusqu'à 98 % des tentatives de compromission de compte. La MFA adaptative, qui ajuste les exigences en fonction des facteurs de risque, offre une protection encore plus forte.

4.4 Mettre en œuvre une segmentation de réseau robuste#

La segmentation de réseau isole les données sensibles dans des zones sécurisées, ce qui rend leur localisation et leur accès plus difficiles pour les attaquants. Pour une sécurité renforcée, des serveurs de rebond (jump servers) peuvent contrôler les demandes de connexion vers ces zones, réduisant le risque d'accès non autorisé.

5. Conclusion#

La fuite de données de Medibank met en évidence le besoin critique de mesures de cybersécurité robustes dans le paysage numérique actuel. En mettant en œuvre des pratiques de sécurité de base comme la protection des identifiants, la MFA, le POLP et la segmentation de réseau, les organisations peuvent réduire considérablement le risque de subir une attaque similaire.

Cet incident rappelle brutalement que la protection des données sensibles des clients n'est pas seulement une obligation légale, mais un aspect fondamental du maintien de la confiance à l'ère numérique.

À propos de Corbado

Corbado est la Passkey Intelligence Platform pour les équipes CIAM qui gèrent l'authentification client à grande échelle. Nous vous montrons ce que les logs IDP et les outils d'analytics génériques ne voient pas : quels appareils, versions d'OS, navigateurs et gestionnaires de credentials prennent en charge les passkeys, pourquoi les enrôlements ne deviennent pas des connexions, où le flux WebAuthn échoue et quand une mise à jour OS ou navigateur casse silencieusement la connexion — le tout sans remplacer Okta, Auth0, Ping, Cognito ni votre IDP interne. Deux produits : Corbado Observe ajoute l'observabilité pour les passkeys et toute autre méthode de connexion. Corbado Connect apporte des passkeys managés avec analytics intégrés (aux côtés de votre IDP). VicRoads gère les passkeys pour plus de 5M d'utilisateurs avec Corbado (+80 % d'activation passkey). Parler à un expert Passkey →

Foire aux questions#

Comment les attaquants ont-ils initialement pénétré dans le réseau de Medibank ?#

Les attaquants ont obtenu les identifiants d'administrateur de Medibank à partir de l'appareil personnel d'un prestataire informatique tiers qui était infecté par un malware. Parce que le système d'accès à distance de Medibank manquait d'authentification multifacteur à l'époque, les identifiants volés ont suffi pour se connecter en tant qu'utilisateur autorisé.

Qu'est-ce qui a rendu la faille de Medibank si dommageable une fois les attaquants à l'intérieur du réseau ?#

Deux faiblesses clés ont amplifié les dommages : le compte compromis avait des privilèges excessifs au-delà de ce que requéraient les tâches quotidiennes, violant le principe de moindre privilège, et une segmentation de réseau insuffisante signifiait que les attaquants pouvaient se déplacer librement pour localiser et extraire des bases de données sensibles sans barrières significatives.

Quels contrôles de sécurité auraient le plus efficacement empêché la fuite de données de Medibank ?#

L'application de la MFA sur tous les points d'accès à distance était le contrôle manquant le plus critique, car les données de Microsoft montrent que la MFA bloque jusqu'à 98 % des tentatives de compromission de compte. Combiner la MFA avec le principe de moindre privilège et une segmentation de réseau robuste aurait stoppé ou limité considérablement l'attaque, même si les identifiants étaient volés.

Pourquoi les organisations devraient-elles éviter de payer des rançons après une fuite de données comme celle de Medibank ?#

Medibank a refusé de payer la rançon de 10 millions de dollars US précisément parce que l'entreprise pensait que le paiement encouragerait d'autres attaques contre elle et d'autres. Bien que ce refus ait conduit à des fuites de données sur le dark web, cette position s'aligne sur les recommandations de sécurité plus larges selon lesquelles les paiements de rançon ne garantissent pas la suppression des données et incitent à des attaques répétées.