Violations de données, Actualités

Des données biométriques, des diagnostics et des coordonnées bancaires ont été divulgués lors d'une importante violation de données dans le secteur de la santé

par Pieter Arntz | 19 mai 2026
informations numériques sur la santé

NYC Health + Hospitals (NYC H+H) a publié un avis signalant une violation de données qui a duré plusieurs mois et qui, par l'intermédiaire d'un prestataire tiers, a exposé des données hautement sensibles concernant au moins 1,8 million de patients et d'employés, notamment des dossiers médicaux, des pièces d'identité officielles, des données de géolocalisation, ainsi que des données biométriques telles que les empreintes digitales et palmaires.

NYC H+H a détecté une activité suspecte le 2 février 2026 et a confirmé par la suite qu'un intrus avait eu accès à certaines parties de son réseau entre fin novembre 2025 et février 2026 environ.

Au cours de cette période, des pirates ont copié des fichiers contenant des informations personnelles, médicales, financières et biométriques. L'incident a été signalé au ministère américain de la Santé et des Services sociaux (HHS) le 24 mars 2026 et touche actuellement au moins 1,8 million de personnes, ce qui en fait l'une des plus importantes violations de données dans le secteur de la santé de l'année 2026 à ce jour.

Dépôt auprès du HHS

NYC H+H attribue cette intrusion à une faille chez un fournisseur tiers dont le nom n'a pas été divulgué et qui avait accès à ses systèmes. Cela correspond à la tendance actuelle en matière de compromission de la chaîne d'approvisionnement, où un fournisseur sert de point d'entrée aux pirates pour accéder aux systèmes ou aux données de ses clients.

Des incidents comme ceux-ci illustrent parfaitement à quel point les données de santé personnelles peuvent alimenter des fraudes à long terme, des abus de type « stalkerware »et une atteinte irréversible à la vie privée.

Digital Footprint Scan

Vérifiez si vos données personnelles ont été exposées.

Types de données

D'après l'avis publié par NYC H+H et les articles connexes, l'ensemble de données exposé est d'une ampleur et d'un niveau de détail inhabituels.

Nous pouvons classer les données en trois catégories distinctes :

  • Les données à caractère personnel classiques, qui peuvent être recoupées avec d'autres ensembles de données ayant fait l'objet d'une fuite : noms complets et coordonnées. Identifiants délivrés par les autorités publiques, notamment les numéros de sécurité sociale, les numéros de permis de conduire et de passeport, d'autres numéros d'identification administratifs, les numéros d'identification fiscale et les codes PIN de protection d'identité de l'IRS. La violation a également exposé des dossiers de facturation et de paiement, ainsi que des données bancaires et de cartes de paiement, qui peuvent être utilisées à des fins de vol financier direct et d'ingénierie sociale très convaincante.
  • Données médicales et d'assurance: les diagnostics détaillés, les listes de médicaments et les résultats d'examens révèlent des problèmes de santé que les personnes auraient pu cacher à leurs employeurs, à leur famille ou à leurs assureurs, ce qui ouvre la voie au chantage, aux escroqueries ciblées et à la discrimination. Les données d'assurance et de remboursement peuvent être détournées pour présenter des demandes frauduleuses, détourner des remboursements ou usurper l'identité de personnes existantes dans les systèmes de santé.
  • Données biométriques: celles-ci sont au moins aussi sensibles que les antécédents médicaux, car elles vous accompagnent généralement toute votre vie. Elles ne sont pas faciles à effacer ni à remplacer. Une fois compromises, les grandes bases de données biométriques constituent un risque à long terme pour tous ceux qui s'y fient comme à des identifiants fiables.

Malheureusement, cela s'inscrit dans une tendance plus générale. Le Centre de signalement des crimes sur Internet (IC3) du FBI indique que le secteur de la santé a été le secteur d'infrastructure critique le plus visé par les ransomwares en 2025, avec 460 incidents liés à des ransomwares et 182 violations de données signalées dans ce secteur.

À elle seule, l'attaque par ransomware contre Change Healthcare a exposé les données médicales et de facturation de plus de 190 millions d'Américains, soulignant à quel point un seul intermédiaire du secteur de la santé peut perturber tout un système.

Que faire si vous êtes concerné ?

Si vous avez eu des contacts avec NYC Health + Hospitals, il est possible que vos données personnelles aient été compromises.

NYC Health + Hospitals propose des services de prévention et de gestion des risques liés à l'usurpation d'identité, notamment la surveillance du crédit, par l'intermédiaire de Kroll Information Assurance, LLC, pendant une période de 24 mois et sans frais pour toutes les personnes ayant travaillé pour NYC Health + Hospitals ou y ayant été soignées. Pour plus d'informations, consultez l'avis de violation de données.

Si vous pensez avoir étévictime d'une fuite de données, voici les mesures que vous pouvez prendre pour vous protéger :

  • Vérifiez les conseils de l'entreprise.Chaque violation est différente, alors vérifiez auprès de l'entreprise pour savoir ce qui s'est passé et suivez les conseils spécifiques qu'elle vous donne.
  • Changez votre mot de passe. Vous pouvez rendre un mot de passe volé inutilisable pour les voleurs en le modifiant. Choisissez un mot de passe fort que vous n'utilisez pour rien d'autre. Mieux encore, laissez un gestionnaire de mots de passe en choisir un pour vous.
  • Activezl'authentification à deux facteurs (2FA).Si possible, utilisez une clé matérielle, un ordinateur portable ou un téléphone compatible FIDO2 comme deuxième facteur. Certaines formes de 2FA peuvent être piratées aussi facilement qu'un mot de passe, mais la 2FA qui repose sur un appareil FIDO2 ne peut pas être piratée.
  • Méfiez-vous des imposteurs.Des malfaiteurs pourraient vous contacter en se faisant passer pour la plateforme piratée. Consultez le site web officiel pour vérifier si celle-ci a bien contacté les victimes et vérifiez l'identité de toute personne qui vous contacte par un autre moyen de communication.
  • Prenez votre temps. Les attaques de phishing usurpent souvent l'identité de personnes ou de marques que vous connaissez et utilisent des thèmes qui requièrent une attention urgente, tels que des livraisons manquées, des suspensions de compte et des alertes de sécurité.
  • Envisagez de ne pas enregistrer les informations relatives à votre carte. Il est certes plus pratique de laisser les sites mémoriser ces informations, mais cela augmente les risques en cas de violation des données par un commerçant.
  • Configurezla surveillance d'identité, qui vous alerte si vosinformations personnellessont trouvées illégalement en ligne et vous aide à récupérer vos données après coup.

Soyons réalistes, une fenêtre de navigation privée a ses limites.

Fuites de données, commerce sur le dark web, fraude à la carte de crédit. Malwarebytes Identity Theft surveille tous ces risques, vous alerte rapidement et inclut une assurance contre l'usurpation d'identité. 

À propos de l'auteur

Pieter Arntz

Pieter Arntz

Chercheur en intelligence malveillante

A été un Microsoft MVP dans le domaine de la sécurité des consommateurs pendant 12 années consécutives. Parle quatre langues. Sente l'acajou et les livres reliés en cuir.

DERNIERS ARTICLES

Escroqueries
L'arnaque du coffret de viande Aldi

Facebook promet des coffrets de viande Aldi à bas prix, mais vole en réalité les informations de paiement

Mai 19, 2026

Une fausse offre d'Aldi concernant un « coffret de viande », qui circule sur Facebook les victimes à divulguer leurs informations personnelles et bancaires.

AI
Détection YouTube

YouTube votre visage pour lutter contre deepfakes

Mai 19, 2026

La « détection de ressemblance » promet une protection contre deepfakes générés par l'IA, mais certains créateurs hésitent à fournir leurs données biométriques en échange.

Actualités
se souvenir des mots de passe

Microsoft modifie le comportement Edgeconcernant les mots de passe en clair

Mai 18, 2026

Les mots de passe enregistrés dans Microsoft Edge ne Edge plus en clair en mémoire pendant toute la durée de la session de navigation, suite aux inquiétudes soulevées par un chercheur.

Articles connexes

Icône des contributeurs

Les contributeurs

Icône du centre des menaces

Centre des menaces

Icône Podcasts

Podcast

Icône de glossaire

Glossaire

Icône d'escroquerie

Escroqueries