Actualités, Privacy

La violation de données chez Conduent : de 10 millions à 25 millions (et ce n'est pas fini)

par Pieter Arntz | 26 février 2026
Logos de Conduent et de ses principaux clients

La violation de données chez Conduent est discrètement devenue l'un des plus importants incidents liés aux données de tiers de l'histoire des États-Unis, et la véritable question est désormais de savoir combien de programmes et d'employeurs différents sont concernés, même pour les personnes qui n'ont jamais entendu parler de Conduent.

Lorsque nous avons couvert cet incident pour la première fois, les documents publics faisaient état d'environ 10,5 millions de personnes touchées, principalement concentrées dans l'Oregon et quelques autres États. Selon les dernières notifications des États, le nombre total s'élèverait à plus de 25 millions de personnes à travers les États-Unis, le Texas passant à lui seul d'une estimation initiale d'environ 4 millions à 15,4 millions de résidents touchés, et l'Oregon restant stable à environ 10,5 millions.

Cela en fait l'une des plus importantes violations de données jamais enregistrées dans le domaine de la santé. Les pirates auraient passé environ trois mois dans l'environnement de Conduent et exfiltré environ 8 To de données.

Comment tant de personnes qui n'ont jamais entendu parler de Conduent peuvent-elles être concernées ?

En 2019, Conduent a déclaré que ses systèmes prenaient en charge des services pour plus de 100 millions de personnes à l'échelle nationale et desservaient la majorité des entreprises du classement Fortune 100 ainsi que plus de 500 entités gouvernementales. Cela montre à quel point le rayon d'action potentiel est vaste, même si tous ces dossiers n'ont pas été touchés par cet incident.

Conduent est présent en coulisses dans une grande partie des services publics américains et des tâches administratives des entreprises, ce qui explique pourquoi la liste des victimes semble si disparate. Ses plateformes gèrent :

  • Programmes d'aide sociale tels que Medicaid, SNAP (Supplemental Nutrition Assistance Program) et autres aides financières versées par le gouvernement dans plus de 30 États.
  • Service courrier, impression et traitement des paiements pour les organismes publics chargés des prestations sociales et les programmes de santé, y compris les grands assureurs santé tels que les régimes Blue Cross Blue Shield.
  • Services aux entreprises pour de grands employeurs, dont au moins un grand constructeur automobile ; près de 17 000 employés du groupe Volvo figurent parmi les personnes dont les données ont été exposées.

Qui a volé quoi ?

La cyberattaque a ensuite été revendiquée par le groupe de ransomware SafePay.

SafePay dénonce une violation de la part de Conduent
Image reproduite avec l'aimable autorisation de Comparitech

Les données volées vont bien au-delà des coordonnées. Les lettres de notification et les documents déposés auprès des autorités réglementaires décrivent :

  • Noms complets, adresses postales et dates de naissance.
  • Numéros de sécurité sociale et autres identifiants gouvernementaux.
  • Informations médicales, détails relatifs à l'assurance maladie et données connexes relatives aux demandes de remboursement.

Étant donné que Conduent traite les données relatives aux avantages sociaux et aux ressources humaines pour le compte d'agences et d'employeurs, la plupart des personnes concernées n'ont jamais eu de contact direct avec Conduent et ne reconnaissent peut-être même pas le nom figurant sur l'enveloppe. Si vous avez bénéficié des prestations SNAP, de la couverture Medicaid, d'autres soins de santé gérés par l'État, ou si vous avez travaillé pour une organisation qui externalise la gestion des ressources humaines ou des demandes de remboursement à Conduent (ou à l'un de ses clients), vos données ont peut-être transité par ses systèmes, même si votre « relation client » était avec une agence d'État, un assureur ou un employeur.

Pourquoi c'est pire qu'il n'y paraît à première vue

Il y a trois raisons pour lesquelles cette suite est plus grave que l'original :

  • Le nombre de personnes concernées augmente : les chiffres bruts sont passés de 10 millions à 25 millions, à mesure que davantage d'États et d'entreprises clientes ont révélé leur implication, ce qui montre à quel point les violations commises par des tiers peuvent être opaques au départ.
  • Identifiants permanents : les numéros de sécurité sociale , associés aux données médicales et d'assurance, permettent l'usurpation d'identité à long terme, la fraude médicale et le phishing très ciblé, qui peuvent hanter les victimes pendant des années.
  • Angle mort tiers : pour de nombreuses entités couvertes, « la violation » n'apparaîtra jamais dans leurs propres journaux, car la compromission s'est produite dans l'environnement d'un fournisseur dont elles dépendent, mais qu'elles ne contrôlent pas.

Ainsi, lorsque vous recevez une lettre inattendue de Conduent, ce n'est pas une erreur. C'est un rappel que vos données peuvent être exposées à des risques bien loin des organisations avec lesquelles vous pensiez traiter, et que l'exposition réelle liée à cette violation dépasse largement les chiffres indiqués dans les déclarations d'un seul État.

Lettre de notification de violation de données de Conduent
Lettre de notification de violation de données de Conduent

Selon les données qui ont été compromises, vous pourriez recevoir une lettre légèrement différente. Si vous en recevez une, vous pouvez consulter notre guide sur les mesures à prendre après une violation de données afin de comprendre les étapes suivantes.

Nous ne nous contentons pas de signaler les menaces, nous contribuons à protéger l'ensemble de votre identité numérique.

Les risques liés à la cybersécurité ne devraient jamais dépasser le stade des gros titres. Protégez vos informations personnelles et celles de votre famille en utilisant une protection d'identité.


À propos de l'auteur

Pieter Arntz

Pieter Arntz

Chercheur en intelligence malveillante

A été un Microsoft MVP dans le domaine de la sécurité des consommateurs pendant 12 années consécutives. Parle quatre langues. Sente l'acajou et les livres reliés en cuir.

DERNIERS ARTICLES

Actualités
Un groupe de personnes portant différentes lunettes de soleil regardant vers le ciel et vers l'appareil photo.

Un développeur crée une application pour détecter les lunettes intelligentes à proximité

Février 25, 2026

Un développeur a créé une Android qui recherche les lunettes intelligentes à proximité. Elle n'est pas parfaite, mais elle peut aider les gens dans certaines circonstances.

Actualités
cachet de vérification de l'âge

Reddit et des sites pornographiques condamnés à une amende par les autorités britanniques pour non-respect de la sécurité et de la vie privée des enfants

Février 24, 2026

L'Ofcom et le Bureau du commissaire à l'information ont respectivement infligé une amende à une société pornographique américaine et à Reddit pour ne pas avoir protégé les enfants en ligne.

Famille et parentalité
Logo de Roblox

Roblox fournit aux prédateurs des « outils puissants » pour cibler les enfants, selon le comté de Los Angeles

Février 24, 2026

Le comté de Los Angeles a poursuivi la plateforme de jeux en ligne Roblox pour son prétendu manquement à protéger les enfants contre les dangers.

Icône des contributeurs

Les contributeurs

Icône du centre des menaces

Centre des menaces

Icône Podcasts

Podcast

Icône de glossaire

Glossaire

Icône d'escroquerie

Escroqueries