Une cyberattaque expose 1,2 million de dossiers à Hawaï, révélant une gestion désastreuse des données et des délais critiques selon les experts de Cybernews.

C’est un cas d’école des dérives de la cybersécurité moderne qui frappe l’archipel américain. Le Centre de lutte contre le cancer de l’Université d’Hawaï se retrouve au cœur d’une tempête numérique après une attaque par rançongiciel détectée en août 2025. L’incident a compromis les données personnelles, incluant les numéros de sécurité sociale et les permis de conduire, de près de 1,2 million de personnes. Fait aggravant : certaines de ces données remontent aux années 1990, illustrant le phénomène dangereux de l’accumulation numérique (« digital hoarding »).

Des fichiers de recherche cryptés n’ont été découverts que plusieurs mois après la brèche initiale. Aras Nazarovas, chercheur principal en sécurité de l’information chez Cybernews (https://cybernews.com), analyse pour nous les erreurs stratégiques commises par l’institution, pointant du doigt trois défaillances majeures : le délai de divulgation, le paiement de la rançon et une gouvernance des données inexistante.

Des délais de signalement inacceptables

Alors que l’intrusion a été repérée à l’été 2025, la notification aux victimes a pris un retard considérable. Ce décalage de six mois entre la détection et l’information du public est vivement critiqué par les experts.

« Le délai de six mois pour notifier les 1,2 million de personnes concernées après la détection d’août 2025 a non seulement violé l’esprit des lois sur la divulgation des violations, mais a également donné aux pirates une opportunité en or pour la fraude, en les laissant exploiter les informations pendant que les victimes restaient sans protection », analyse Aras Nazarovas.

Durant ce laps de temps, les données sensibles ont pu circuler librement sur les marchés noirs du web sans que les concernés ne puissent geler leurs crédits ou surveiller leurs comptes.

Le piège du paiement de la rançon

L’enquête révèle également que l’établissement a choisi de négocier avec les cybercriminels pour obtenir le déchiffrement et la destruction des données. Une stratégie à court terme que déplore l’expert de Cybernews, d’autant qu’il s’agit d’une récidive.

« En négociant avec les acteurs de la menace, le Centre de lutte contre le cancer de l’Université d’Hawaï a créé un problème plus important. Ils ont choisi une solution rapide en ignorant le fait que payer les criminels maintient toute la machine de l’extorsion en marche », explique M. Nazarovas.

L’histoire se répète malheureusement pour l’institution : « Ce n’est pas la première fois : en 2023, ils avaient également confirmé avoir payé un gang de rançongiciels pour empêcher la fuite de données volées à environ 28 000 personnes. Chaque paiement prouve que le rançongiciel fonctionne, finançant la prochaine attaque contre l’organisation suivante ».

L’absence d’inventaire des données

Au-delà de la gestion de crise, c’est la structure même du stockage de l’information qui est en cause. L’attaque a mis en lumière une méconnaissance totale du patrimoine numérique de l’organisation. Des données de patients décédés ou de dossiers vieux de trente ans étaient conservées sans mesure de sécurité adéquate ni inventaire précis.

« La brèche a exposé un manque total d’inventaire des données. Le Centre n’avait aucune idée de l’endroit où étaient stockés des fichiers sensibles, comme les numéros de sécurité sociale de patients partis depuis longtemps », souligne le chercheur.

Cette négligence a complexifié la réponse à l’incident : « Cela a rendu impossible une évaluation rapide des dommages. S’ils n’avaient pas obtenu de clé de déchiffrement, ils n’auraient peut-être jamais identifié correctement quelles informations étaient affectées ».

Cet incident rappelle l’importance cruciale de la minimisation des données (ne conserver que le strict nécessaire) et de la cartographie des systèmes d’information pour les structures de santé, cibles privilégiées des pirates informatiques.