Une violation de données chez le géant gouvernemental de la technologie Conduent semble affecter beaucoup plus de personnes que prévu, le nombre de victimes pouvant atteindre des dizaines de millions de personnes à travers les États-Unis.
On sait désormais que l’attaque de ransomware de janvier 2025, qui a paralysé les opérations de Conduent pendant plusieurs jours, a touché au moins 15,4 millions de personnes rien qu’au Texas, soit environ la moitié de la population de l’État. Conduent a déclaré en octobre que 4 millions de personnes à travers l’État étaient touchées.
Selon le procureur général de l’État, 10,5 millions de personnes supplémentaires sont touchées dans tout l’Oregon.
Conduent a également informé des centaines de milliers de personnes dans le Delaware, le Massachusetts, le New Hampshire et d’autres États, selon les notifications de violation de données vues par TechCrunch.
Les données volées comprennent les noms des individus, les numéros de sécurité sociale, les données médicales et les informations sur l’assurance maladie.
Aujourd’hui, l’un des plus grands sous-traitants gouvernementaux, Conduent gère et traite de grandes quantités d’informations personnelles et sensibles pour le compte de grandes entreprises, de ministères gouvernementaux et de plusieurs États américains. La société affirme que ses services de soutien technologique et opérationnel touchent plus de 100 millions de personnes aux États-Unis dans le cadre de divers programmes de santé gouvernementaux.
Lorsqu’on lui a posé plusieurs questions sur la violation de données, le porte-parole de Conduent, Sean Collins, a fourni une déclaration passe-partout qui ne répondait pas aux questions, et n’a pas non plus répondu si Conduent savait combien de personnes étaient affectées par la cyberattaque. Le porte-parole n’a pas précisé si cette violation touchait plus de 100 millions de personnes.
Collins a déclaré que la société s’efforçait de « mener une analyse détaillée des fichiers concernés afin d’identifier les informations personnelles » prises lors de la violation, mais n’a pas voulu dire combien de notifications de violation de données la société a envoyées à ce jour.
On sait peu de choses sur cette violation et la société a divulgué peu de détails. Conduent a révélé la cyberattaque en avril, quelques mois après que des pirates informatiques ont détruit les systèmes de l’entreprise, ce qui a entraîné des pannes dans les services gouvernementaux à travers les États-Unis.
Le gang du ransomware Safeway s’est attribué le mérite de la violation, affirmant avoir volé plus de 8 téraoctets de données.
Dans un dossier déposé ultérieurement auprès de la SEC, la société a déclaré que les ensembles de données volés « contenaient un nombre important d’informations personnelles associées aux utilisateurs finaux de nos clients », faisant référence à ses clients corporatifs et gouvernementaux.
Conduent a également déclaré qu’elle continuait d’informer les personnes dont les données ont été volées lors de la violation et prévoyait de terminer l’alerte des personnes d’ici début 2026. La société n’a pas donné de calendrier plus précis.
En savez-vous plus sur la cyberattaque Conduent ? Vous pouvez contacter Zack Whittaker sur Signal via le nom d’utilisateur zackwhittaker.1337 ou par email : [email protected].
