Allianz Life annonce que la majorité des données personnelles de ses clients a été volée lors d’une cyberattaque

 (techcrunch.com)
2 points par GN⁺ 2025-07-28 | 1 commentaires | Partager sur WhatsApp
  • L’assureur américain Allianz Life a subi une cyberattaque au cours de laquelle les données personnelles de clients, de conseillers financiers et de certains employés ont été dérobées
  • Les attaquants ont exfiltré la majorité des informations d’un système CRM cloud en utilisant des techniques d’ingénierie sociale
  • Allianz Life a effectué les déclarations légales requises et informé le FBI, mais n’a pas divulgué de groupe de hackers suspecté ni le nombre de victimes
  • Ces derniers temps, des fuites de données similaires se sont multipliées dans le secteur de l’assurance, avec un nombre croissant de cas attribués au groupe de hackers Scattered Spider
  • Les notifications individuelles aux victimes devraient commencer autour du 1er août

Aperçu de la cyberattaque contre Allianz Life

  • Le grand assureur américain Allianz Life a officiellement confirmé à TechCrunch que de nombreuses données personnelles, y compris celles de clients, ont été volées lors d’une fuite de données survenue à la mi-juillet 2025
  • Un porte-parole d’Allianz Life a reconnu officiellement l’incident et a précisé que l’attaque s’est produite le 16 juillet 2025
  • Les attaquants ont accédé à un système CRM (gestion de la relation client) cloud tiers et ont dérobé, à l’aide de techniques d’ingénierie sociale, des informations personnelles identifiables concernant la majorité des clients, des conseillers financiers et certains employés

Situation de la fuite de données et réponse apportée

  • L’existence de la fuite de données a été rendue publique via une déclaration légale dans l’État du Maine, sans que le nombre de clients affectés soit immédiatement communiqué
  • Allianz Life compte environ 1,4 million de clients aux États-Unis, tandis que sa maison mère Allianz en compte plus de 125 millions dans le monde
  • Allianz Life a signalé l’incident au FBI, mais n’a pas indiqué si les hackers avaient formulé des demandes financières ou établi un contact direct
  • L’entreprise souligne que les hackers ont uniquement accédé au système CRM et qu’aucun élément ne montre une compromission d’autres systèmes du réseau

Incidents similaires dans le secteur et contexte

  • Au cours du dernier mois, de grandes opérations de piratage visant des assureurs comme Aflac se sont succédé
  • En juin, des chercheurs en sécurité de Google ont indiqué avoir constaté de multiples intrusions dans l’ensemble du secteur de l’assurance et les ont attribuées au groupe de hackers Scattered Spider, connu pour recourir à l’ingénierie sociale
    • Technique d’ingénierie sociale : par exemple, obtenir un accès au réseau en trompant les équipes du help desk via des appels d’usurpation d’identité
  • Scattered Spider a déjà mené par le passé des attaques contre divers secteurs, notamment la distribution au Royaume-Uni, l’aérien et le transport, ainsi que de grands groupes IT de la Silicon Valley

Réponse à venir et informations pratiques

  • Allianz Life prévoit de commencer à notifier individuellement les clients et parties prenantes concernés à partir du 1er août
  • Pour tout signalement ou renseignement supplémentaire lié à la sécurité, l’usage d’un canal chiffré distinct est recommandé

À lire aussi

1 commentaires

 
GN⁺ 2025-07-28
Commentaires sur Hacker News

  • Je me retrouve souvent à dire cela, même si je sais que c’est une opinion impopulaire, sans trop savoir pourquoi.
    Les chercheurs en sécurité, les hackers white hat et les hackers grey hat devraient bénéficier d’une forte protection juridique s’ils se contentent de signaler les vulnérabilités qu’ils trouvent.
    Les hackers malveillants continuent de chercher des failles de sécurité, et il n’existe aucun système pour les en empêcher.
    En revanche, quand des hackers bien intentionnés font la même chose, ils risquent des poursuites pour crime grave.
    L’expérience a montré que nous avons échoué à construire des systèmes sûrs.
    C’est embarrassant, mais la plupart de nos grandes entreprises et organisations ont très peu de capacité à concevoir des systèmes sûrs.
    L’une des raisons pour lesquelles on refuse de regarder cela en face, c’est qu’on n’autorise même pas la recherche en sécurité par red team interne.
    Au final, toute la situation tourne à l’avantage des entreprises et des organisations puissantes.
    Les entreprises disent en substance : « nos systèmes sont sous notre responsabilité, on ne les teste pas sans autorisation. Mais si des données fuient, nous ne sommes pas responsables ».
    Il y a donc quelque chose de profondément ironique dans le fait que les organisations choisissent elles-mêmes quand elles sont responsables et quand elles ne le sont pas.
    Les entreprises sont-elles responsables de la sécurité de leurs systèmes, ou est-ce un enjeu collectif qui nous concerne tous ? Il faut clarifier ce point.
    Quand les données de la moitié de la population d’un pays fuient régulièrement, cela ressemble à un problème qui concerne tout le monde.
    Et c’est en réalité une question de sécurité nationale.
    Par exemple, est-ce qu’un organisme indépendant vérifie que le réseau électrique national est sûr, ou bien puis-je légalement essayer moi-même ?
    Non, je n’en ai pas le droit. Le simple fait d’essayer constitue un crime grave.
    On se retrouve donc avec des organisations très puissantes qui peuvent ne rien faire même si leurs systèmes ont des failles, tandis que l’extérieur n’a aucun droit d’étudier ces failles.
    Au bout du compte, nous sacrifions la sécurité nationale à la commodité des entreprises et à leur volonté d’éviter toute humiliation publique.

    • Cela me fait réfléchir au fait de savoir si les bases de données clients de Google, facebook ou Microsoft ont réellement déjà été piratées.
      Aujourd’hui, il y a très peu de responsabilité pour les entreprises qui développent des logiciels de façon aussi négligée.
      Chaque fuite de données devrait infliger un dommage proportionnel à la taille de l’entreprise concernée.
      Par exemple, l’affaire Equifax aurait presque dû suffire à faire tomber l’entreprise elle-même.
      Il faudrait des amendes de plusieurs milliards de dollars pour provoquer une vraie prise de conscience et des audits internes sérieux.
      Dans l’état actuel des choses, il n’y a pratiquement aucune raison de se soucier réellement de la sécurité.

    • Si les entreprises étaient réellement exposées à de lourdes sanctions — par exemple avec un système où le régulateur évalue les dommages et impose des pénalités de long terme — le cours de l’action baisserait et elles n’auraient pas d’autre choix que de prendre la sécurité au sérieux.
      En pratique, c’est l’inverse : les entreprises s’en tirent souvent avec un simple avertissement léger.

    • C’est un argument intéressant.
      Mais si les white hats comme les grey hats bénéficiaient tous d’une protection légale, les black hats pourraient sans doute pirater librement tous les systèmes à l’avance puis dire : « je ne faisais que chercher des vulnérabilités ».
      Ils pourraient simplement ne rien signaler, mémoriser toutes les méthodes et les réutiliser plus tard dans une vraie attaque.
      Ils pourraient même passer leur vie à se faire passer pour des white hats tout en revendant discrètement les informations en coulisses.
      Le système actuel freine justement ce genre de comportement.

    • Pour éviter ce problème, il faudrait sans doute que le web conserve un certain niveau d’anonymat, et que la découverte accidentelle d’une faille de sécurité ou un incident survenu dans le cadre d’un usage ordinaire ne soit pas traité comme un crime.
      On pourrait aussi stocker dans les bases de données non pas des chaînes de caractères mais des jetons à chiffrement asymétrique, afin qu’en cas de fuite l’utilisateur puisse obtenir réparation auprès du service.
      Mais aucune entreprise ne veut vraiment garantir la protection des utilisateurs de cette manière.
      Au final, la plupart des activités de sécurité relèvent surtout de l’affichage.

    • Il est important de rappeler que toute recherche en sécurité ne se vaut pas.
      Beaucoup conviendraient que la recherche de bon sens — par exemple découvrir une faille par hasard et la signaler — devrait clairement être protégée.
      En revanche, des tests d’intrusion menés sans autorisation explicite peuvent réellement perturber un système.
      Si on autorise cela indistinctement à tout le monde, cela peut nuire même à des systèmes correctement conçus.
      Il existe des domaines techniquement résolubles, comme les algorithmes cryptographiques, mais la cybersécurité continue malgré tout de dépendre du droit et de la confiance.

  • On pourrait réduire ces fuites de données à répétition en modifiant les incitations, mais je pense que c’est difficile en pratique.
    Il faut reconnaître qu’on ne pourra pas les empêcher complètement — les humains font des erreurs, et plus l’échelle grandit, plus les erreurs se multiplient.
    Cela ne veut pas dire qu’il faille renoncer à faire des efforts.
    En parallèle, il faut aussi mettre en place plusieurs moyens de limiter les dommages causés par les fuites de données personnelles.
    Il ne faut pas considérer comme secrètes des informations telles que la date de naissance, le nom, l’adresse, le numéro de téléphone, l’e-mail ou le SSN, et il faut au contraire bloquer concrètement les différents mécanismes qui permettent de les exploiter pour commettre une « usurpation d’identité ».
    Je déteste d’ailleurs le terme même d’identity theft — on dirait que la victime a commis une faute.
    En réalité, le problème vient du fait que les entreprises vérifient l’identité de leur interlocuteur à la légère avant d’effectuer une transaction.
    La responsabilité devrait peser sur les entreprises.
    Par exemple, si une banque accorde un prêt en mon nom, la responsabilité devrait incomber à la banque, pas à moi.
    Si l’on changeait simplement cette structure, les entreprises vérifieraient les identités de manière rigoureuse et les incitations seraient enfin alignées.
    Bien sûr, les fuites de données ne se résument pas à l’usurpation d’identité, mais rien que sur ce point il y aurait déjà beaucoup à résoudre.

    • Si vous partagez mon aversion pour le terme identity theft, je recommande cette vidéo de sketch.
      https://www.youtube.com/watch?v=CS9ptA3Ya9E

    • À propos de l’idée selon laquelle « corriger les incitations réduirait les fuites », je me demande si, en pratique, le coût de réponse aux incidents dépasse réellement le coût qu’impliquerait leur prévention structurelle.
      En dehors des cas liés à la sécurité nationale, il n’est pas si évident d’affirmer que le préjudice est supérieur au coût des contre-mesures.

    • Je ne trouve pas nécessairement que le terme « usurpation d’identité » implique que la victime ait commis une faute.
      Quand on se fait voler quelque chose, on ne dit pas pour autant que c’est de sa faute.
      Si mon argent était volé dans le coffre d’une banque, ce ne serait pas ma responsabilité non plus.
      En cybersécurité, en revanche, l’attaquant peut se trouver n’importe où dans le monde, ce qui rend la protection des victimes difficile.
      Au final, une victime reste une victime.

    • Il existe déjà une solution — la MFA (authentification multifacteur) et la fédération avec un IdP (fournisseur d’identité).
      D’un côté, quelque chose que l’on connaît (des données), de l’autre quelque chose que l’on possède ou une donnée biométrique (comme une empreinte digitale).
      L’IdP réalise les deux vérifications et répartit aussi la responsabilité liée à l’authentification.
      C’est un peu comme le permis de conduire : je le possède, et il peut aussi être vérifié dans les systèmes de l’État.
      Le problème, c’est que beaucoup d’acteurs utilisent la reconnaissance faciale comme second facteur, avec un risque important pour la vie privée.
      À long terme, l’État pourrait finir par devenir l’unique IdP.
      Les méthodes non biométriques ont de vraies difficultés de passage à l’échelle, mais comme les empreintes digitales sont déjà gérées dans de nombreux pays, cela me semble préférable à la reconnaissance faciale.

  • Ce genre de situation ne disparaîtra jamais, jamais, tant que les dirigeants ne feront pas faillite ou n’iront pas en prison pour négligence.
    Même dans ce cas, cela ne réduirait que la fréquence et la gravité des incidents.

    • Sauf en cas de négligence délibérée ou de comportement malveillant, je ne pense pas que la prison soit la bonne réponse.
      La plupart des incidents de sécurité viennent d’erreurs.
      Infliger un choc financier aux entreprises peut avoir un effet dissuasif, mais si la société coule, cela peut mettre des centaines ou des milliers de personnes au chômage du jour au lendemain.
      Il suffit parfois d’une mauvaise configuration de pare-feu ou d’un employé piégé par une attaque d’ingénierie sociale pour causer d’énormes dégâts à l’entreprise.
      Il serait peut-être plus réaliste de reconnaître que les systèmes connectés à Internet — cloud, SaaS, etc. — ne sont pas fondamentalement sûrs, et d’en limiter fortement l’usage.
      Ou alors de transformer la société de sorte que la fuite d’informations comme le nom, le SSN, la date de naissance, l’adresse ou le nom de jeune fille de la mère ne signifie plus rien.

    • Je suis pour la suppression de la responsabilité limitée.
      Les actionnaires devraient répondre de l’intégralité du préjudice subi par les victimes sur la totalité de leur patrimoine.
      Si l’on veut les profits, il faut aussi assumer pleinement les risques.

    • Je me souviens qu’au moment de l’arrivée du RGPD, on avait présenté cela comme le moment où les dirigeants allaient enfin être personnellement responsables des piratages, et beaucoup de gens en attendaient énormément.
      Je pensais déjà à l’époque que c’était absurde, et c’est bien ce qui s’est passé.
      Pour engager une responsabilité juridique, il faut prouver une négligence grave, et devant les tribunaux les échappatoires sont nombreuses.
      Le temps où les dirigeants répondraient de tout ce qu’ils font pendant leur mandat n’arrivera jamais.

  • À mon avis, il faudrait un système imposant automatiquement une amende de 1 000 £ par donnée client compromise.
    Pour une entreprise avec des millions de clients, cela pourrait signifier la fin de la société.
    En réalité, les entreprises ne s’en soucient même pas, et quand une fuite finit par arriver, il suffit d’envoyer un e-mail d’excuses tiède et l’affaire est close.
    Au Royaume-Uni, l’ICO est un organisme aussi inutile et dangereusement inefficace qu’Ofwat.
    (faute de frappe corrigée)

    • Les amendes devraient être versées directement aux clients.
      Aujourd’hui, avec les recours collectifs, on récupère quelques centimes au bout d’environ un an, ce qui n’aide concrètement en rien les clients.

    • Quand vous dites que cela « rendrait l’entreprise irrécupérable », qu’arriverait-il alors aux clients de cette entreprise ?
      Est-ce qu’on ne ferait pas retomber encore une fois le préjudice sur les victimes ?

    • Je m’inquiète aussi du fait que des amendes trop élevées puissent finir par affecter l’économie nationale dans son ensemble.

  • Allianz propose effectivement une assurance contre ce type de cyberattaque.
    https://www.allianz.de/aktuell/storys/cyberschutz-knoten-im-system/

    • L’assurance fait elle-même partie du problème.
      Pour les entreprises, il est moins coûteux d’acheter une police d’assurance que de développer des logiciels sûrs et d’investir dans la recherche et la sécurité.
      Tant que cette structure perdure, rien ne changera.

    • Au moins, on voit que la protection des endpoints exigée par le contrat fonctionnait correctement.

  • Le problème vient aussi du fait que les développeurs Salesforce ne connaissent pas toujours bien le produit, et que Salesforce lui-même ne semble pas accorder une grande importance à la sécurité.
    Dans un environnement mal configuré, on peut voir toutes les données récupérables avec seulement deux requêtes web sans authentification.
    Il n’y a pas non plus de véritable système de monitoring, si bien qu’il a fallu concevoir entièrement de l’extérieur une chaîne de supervision de sécurité en s’appuyant sur les journaux très pauvres de Salesforce.
    Je laisse aussi un guide utile à ce sujet.
    https://www.varonis.com/blog/misconfigured-salesforce-experi
    On peut automatiser cela et même trouver des sites Salesforce après la phase de reconnaissance.
    Je l’ai moi-même déjà fait.

  • L’article dit : « Le 16 juillet 2025, un hacker malveillant a accédé à un système CRM cloud tiers utilisé par Allianz Life ».
    Je me demande bien ce qu’est exactement ce « CRM cloud tiers ».

    • L’article récent de Google sur Salesforce mérite aussi le détour.
      https://cloud.google.com/blog/topics/threat-intelligence/voice-phishing-data-extortion

    • Un autre article mentionnait Salesforce, et bien souvent c’est le détenteur des données qui a laissé la sécurité dans un état déplorable.
      Il existe partout sur Internet des tenants Salesforce mal configurés.

    • Quel que soit le système, est-ce que cela change vraiment grand-chose ?
      La cause n’était pas un piratage technique, mais une attaque d’ingénierie sociale visant à tromper des personnes.

    • Selon le CRM utilisé, on peut aussi se demander s’il n’y a pas potentiellement une violation d’HIPAA.

  • Même quand la gestion de la sécurité des données est laxiste, les grandes entreprises subissent très peu de sanctions réelles.
    L’État rend presque impossible le changement de SSN, tout en continuant à s’en servir pour vérifier l’identité.
    Résultat : la plupart des gens sont déjà exposés.

  • Comme l’article le mentionne, au-delà des attaques d’ingénierie sociale via des centres d’appel, les informations d’entreprise sont beaucoup trop largement exposées sur Internet.
    Par exemple, LinkedIn est une véritable mine d’or pour l’ingénierie sociale.
    Les profils sont visibles par n’importe quel utilisateur connecté, qu’il soit ou non en relation avec vous, donc il est étonnant que davantage d’entreprises ne surveillent pas activement les profils de leurs employés.

  • C’est une forte nuisance pour les clients et un préjudice pour l’entreprise, mais à partir d’un certain point je me demande s’il ne faut pas voir cela comme un échec systémique de type « tragédie des communs ».
    Juridiquement, si une banque se contente d’utiliser pour l’authentification des informations publiques facilement détournables comme le SSN ou le nom de jeune fille de la mère, alors en cas d’incident il serait logique que la banque en porte la responsabilité.