La cyberattaque par rançongiciel de Conduent aurait exposé les données de plus de 62 millions de personnes
Une intrusion du rançongiciel SafePay fin 2024 chez le géant de l'externalisation Conduent a, selon les régulateurs américains, exposé les données de plus de 62 millions de personnes, la troisième plus grande fuite de santé recensée.
- Victime
- Conduent Business Services
- données
- 62.2M
- utilisateurs
- 62.2M
Le 13 janvier 2025, Conduent Business Services — le géant américain de l'externalisation des processus métier, basé dans le New Jersey et issu d'une scission de Xerox en 2017 — a découvert que des intrus étaient restés près de trois mois à l'intérieur de son réseau. Selon les communications de l'entreprise, un tiers non autorisé a conservé un accès depuis le 21 octobre 2024 environ jusqu'à ce que l'activité soit détectée et interrompue à la mi-janvier 2025. L'ampleur réelle du vol n'est apparue qu'début juillet 2026, lorsque l'Office for Civil Rights du ministère américain de la Santé (HHS) a mis à jour son portail de notification pour indiquer que 62 224 658 personnes étaient concernées — un chiffre qui place l'incident derrière les seules fuites de Change Healthcare (2024) et d'Anthem (2015) dans l'histoire des compromissions de données de santé aux États-Unis.
Conduent traite des transactions, des paiements et des dossiers administratifs pour le compte d'agences gouvernementales, d'organismes d'assurance santé et de grands employeurs, ce qui explique qu'une seule intrusion chez le sous-traitant se soit transformée en l'une des plus vastes fuites de données de santé jamais recensées. Les informations exposées comprendraient les noms, numéros de sécurité sociale, dates de naissance, dossiers médicaux et détails d'assurance santé appartenant aux clients et adhérents des donneurs d'ordre de Conduent. Le groupe de rançongiciel SafePay a revendiqué l'attaque, ajoutant Conduent à son site de fuite en janvier 2025 et affirmant avoir exfiltré environ 8,5 téraoctets de données.
Un décompte qui n'a cessé d'augmenter
Le nombre de victimes a fortement augmenté au fil de dix-huit mois d'enquête et de notifications. Lorsque la fuite a été signalée pour la première fois à l'automne 2025, Conduent estimait qu'environ 10,5 millions de personnes étaient touchées. En février 2026, ce chiffre avait été revu à environ 25 millions, et le décompte final publié sur le portail fédéral en juillet 2026 l'a plus que doublé à nouveau, dépassant les 62,2 millions. Cette escalade illustre la difficulté d'identifier chaque personne dont un sous-traitant détient les données pour le compte de nombreuses organisations clientes.
Pourquoi c'est important
Parce que Conduent est un sous-traitant manipulant des données de santé protégées pour le compte de multiples clients, la fuite est enregistrée au titre des règles américaines de confidentialité en santé, même si Conduent est elle-même une entreprise de technologie et d'externalisation plutôt qu'un hôpital ou un assureur. Conduent a proposé aux personnes concernées une surveillance de crédit gratuite et fait face à plusieurs recours collectifs. L'exposition des numéros de sécurité sociale, dates de naissance et informations médicales de dizaines de millions de personnes crée un risque durable de vol d'identité et de fraude médicale qui perdurera bien au-delà du rétablissement opérationnel de l'attaque par rançongiciel.
Chronologie
Des intrus, plus tard reliés au groupe de rançongiciel SafePay, commencent à accéder au réseau de Conduent.
Conduent détecte l'intrusion et met fin à l'accès non autorisé après près de trois mois.
SafePay ajoute Conduent à son site de fuite de données, affirmant avoir dérobé environ 8,5 téraoctets de données.
Des déclarations réglementaires révisent à la hausse le nombre de personnes touchées, à environ 25 millions.
Le portail de notification des fuites de l'Office for Civil Rights du HHS est mis à jour à 62 224 658 personnes, classant l'incident comme la troisième plus grande fuite de données de santé aux États-Unis.
Sources
- bankinfosecurity.comhttps://www.bankinfosecurity.com/conduent-hack-victim-count-now-tops-622-million-a-31900
- hipaajournal.comhttps://www.hipaajournal.com/conduent-business-solutions-data-breach/
- paubox.comhttps://www.paubox.com/blog/conduent-breach-hits-62m-ranking-third-largest-in-us-healthcare-history
- malwarebytes.comhttps://www.malwarebytes.com/blog/news/2026/02/the-conduent-breach-from-10-million-to-25-million-and-counting