Aflac 22M : Arrêter Scattered Spider au Help Desk

Publié le juin 5, 2026 · par ALGERIATECH Editorial

⚡ Points Clés

Scattered Spider a manipulé le help desk d’Aflac en juin 2025, dérobant les noms, numéros de sécurité sociale, dossiers de santé et données de sinistres de 22,65 millions de personnes — le même manuel utilisé simultanément contre Erie Insurance, Philadelphia Insurance et Scania Financial.

En résumé: Toute organisation où un appel au help desk peut réinitialiser les identifiants de systèmes contenant des données personnelles en masse exploite la même vulnérabilité ouverte. Le MFA matériel, la classification des réinitialisations par niveaux et les exercices trimestriels de vishing sont les trois contrôles non négociables.

Lire l’analyse complète ↓

🧭 Radar de Décision

Pertinence pour l’Algérie
Moyenne
▾

Le secteur algérien de l’assurance (SAA, CAAT, Salama) développe ses opérations numériques, et l’ingénierie sociale de type vishing est indépendante de la technologie ; tout assureur gérant un support téléphonique est exposé au même vecteur

Infrastructure prête ?
Partielle
▾

Les grands assureurs algériens disposent d’équipes de sécurité IT, mais les protocoles de défense anti-vishing et le MFA lié au matériel pour les help desks internes ne sont pas encore pratique courante

Compétences disponibles ?
Partielles
▾

Des professionnels en cybersécurité existent (écosystème ASSI, DZ-CERT), mais la capacité spécialisée en red team d’ingénierie sociale chez les assureurs est limitée ; la plupart des investissements en sécurité restent axés sur le périmètre

Calendrier d’action
6-12 mois
▾

Les procédures de durcissement du help desk peuvent être mises en œuvre rapidement ; le déploiement du MFA matériel et les programmes d’exercices vishing nécessitent 2-4 trimestres

Parties prenantes clés
RSSI et directeurs de sécurité IT chez SAA, CAAT, Salama ; ASSI (Agence de la Sécurité des Systèmes d’Information) ; responsables de la transformation numérique des opérateurs d’assurance
▾

Assessment: RSSI et directeurs de sécurité IT chez SAA, CAAT, Salama ; ASSI (Agence de la Sécurité des Systèmes d’Information) ; responsables de la transformation numérique des opérateurs d’assurance. Review the full article for detailed context and recommendations.

Type de décision
Tactique
▾

Assessment: Tactique. Review the full article for detailed context and recommendations.

En bref: Les assureurs algériens qui numérisent leurs flux clients et de sinistres construisent exactement la surface help desk qu’Aflac a payé le prix fort pour ne pas avoir protégée. Le cadre ASSI et la réglementation NYDFS Cybersecurity fournissent tous deux des ancres réglementaires pour rendre obligatoires le MFA lié au matériel et les exercices vishing. Les assureurs qui considèrent cela comme « un problème américain » exploitent une vulnérabilité connue et ouverte.

La violation en chiffres : ce que Scattered Spider a réellement pris

En juin 2025, un acteur malveillant lié à Scattered Spider — une coalition décentralisée de cybercriminels anglophones natifs opérant depuis les États-Unis, le Royaume-Uni et le Canada — a pénétré l’environnement d’Aflac et exfiltré des données avant d’être éjecté. Selon la déclaration d’Aflac auprès du procureur général de l’Iowa, l’intrusion a été stoppée en quelques heures sans perturbation opérationnelle ni déploiement de ransomware. Pourtant, l’impact opérationnel relativement limité a rendu le chiffre final encore plus surprenant : 22,65 millions de personnes affectées, dont plus de 2 millions de résidents du Texas.

Le jeu de données volé est inhabituellement riche, même selon les standards des violations. Les enregistrements compromis comprennent les noms, dates de naissance, adresses, numéros d’identification gouvernementaux, permis de conduire, numéros de sécurité sociale, ainsi que des dossiers médicaux et d’assurance santé — y compris les données réelles de sinistres. L’ensemble représente un dossier de haute valeur pour la fraude à l’identité, la fraude médicale et le hameçonnage ciblé.

Aflac compte environ 50 millions de clients, ce qui signifie que la violation a touché environ 45 % de sa clientèle totale. L’entreprise a proposé 24 mois de protection contre l’usurpation d’identité — incluant la surveillance du crédit, la protection contre l’usurpation et la protection contre la fraude médicale — avec une date limite d’inscription fixée au 18 avril 2026. Les autorités fédérales chargées de l’application de la loi ont été notifiées et des experts en cybersécurité externes ont été mandatés. Malgré ces mesures, l’écart de six mois entre la violation de juin 2025 et la confirmation publique du 26 décembre 2025 constitue en soi un problème de réputation que les régulateurs d’assurance des États scrutent de plus en plus.

Comment Scattered Spider exploite le help desk

Scattered Spider — également tracé sous les noms UNC3944, 0ktapus et Muddled Libra — a affiné un manuel d’attaque répétable que les chercheurs en cybersécurité de Blackfog décrivent comme de l’« ingénierie sociale téléphonique de help desk ». La mécanique est simple et dévastatrice.

Les opérateurs s’ouvrent en se faisant passer pour un employé confronté à un problème urgent — un compte verrouillé, un échec d’authentification MFA ou un appareil oublié. Ils arrivent à l’appel armés de données personnelles récoltées lors de violations précédentes : le nom complet de l’employé cible, son titre de poste, le nom de son responsable, son identifiant d’employé et parfois les réponses aux questions de sécurité courantes. Ces données ne servent pas à se connecter directement, mais à paraître suffisamment authentiques pour pousser un analyste du help desk à contourner les protocoles de vérification et à réinitialiser les identifiants MFA ou VPN. Le résultat est un ensemble d’identifiants valides que l’attaquant contrôle — ce que les chercheurs de Blackfog appellent « un passe-partout pour le réseau ».

Lorsque la récupération des identifiants seule est insuffisante, le groupe emploie la fatigue MFA : envoyer des notifications push répétées à un employé légitime jusqu’à ce que la fatigue, la confusion ou l’ingénierie sociale d’un appel concurrent amène l’employé à approuver une demande qu’il aurait dû rejeter.

La technique est indépendante du secteur, mais l’assurance est particulièrement attractive. Les volumes du help desk chez les assureurs sont élevés, les équipes d’analystes sont importantes et souvent externalisées, et les systèmes accédés — plateformes de gestion des sinistres, administration des polices, souscription médicale — contiennent les données les plus sensibles qui soient. Les attaques simultanées de juin 2025 contre Erie Insurance et Philadelphia Insurance Companies en parallèle d’Aflac, plus la violation de Scania Financial Services, indiquent un ciblage délibéré du secteur. Dans la campagne 2025 au sens large, Scattered Spider a également violé Allianz Life et s’est orienté vers l’aviation, visant WestJet, Hawaiian Airlines et Qantas — où les données d’environ 6 millions de passagers ont été accédées.

Sur le plan financier, Scattered Spider a extorqué au moins 115 millions de dollars à des dizaines de victimes sur trois ans. Un site de fuite opéré par le groupe a été démantelé par les forces de l’ordre en 2025 et deux membres ont été arrêtés au Royaume-Uni, mais la structure en coalition signifie que la perturbation de ces nœuds n’a pas mis fin aux opérations.

Ce que les RSSI doivent faire : durcir le help desk contre le vishing

La violation d’Aflac est un échec procédural, pas technique. Aucun zero-day n’a été exploité. Aucune menace persistante avancée n’a creusé pendant des mois dans le périmètre réseau. Une personne au téléphone a convaincu une autre personne de remettre des identifiants. Cela signifie que les contre-mesures sont également procédurales — mais elles doivent être opérationnalisées avec la même rigueur qu’une règle de pare-feu.

1. Remplacer la vérification par secret partagé par une preuve liée au matériel

L’authentification basée sur la connaissance — « quel est votre identifiant d’employé ? quel était le nom de votre premier animal de compagnie ? » — est neutralisée dès que ces données existent dans un jeu de données de violation, et Scattered Spider charge spécifiquement ces informations avant d’appeler. Le remplacement est l’identité liée au matériel : une clé de sécurité physique FIDO2, un badge d’entreprise sur un lecteur physique, ou une revalidation d’identité en personne. Pour les employés distants, un appel vidéo en direct avec le responsable du demandeur comme co-vérificateur ajoute une deuxième vérification humaine infiniment plus difficile à falsifier qu’une voix au téléphone. Toute procédure de help desk autorisant la réinitialisation des identifiants ou le contournement MFA sur un seul appel vocal, sans preuve matérielle ou visuelle, doit être traitée comme une vulnérabilité ouverte.

2. Classer les demandes de réinitialisation selon le risque pour les données, pas selon la vitesse de traitement

Toutes les demandes de help desk ne présentent pas le même risque. Une réinitialisation de mot de passe pour un compte de productivité à faible privilège est catégoriquement différente d’une réinitialisation MFA pour un compte ayant accès aux systèmes de gestion des sinistres, d’administration des polices ou de données de santé personnelles identifiables. Les RSSI doivent travailler avec les opérations du help desk pour construire une classification par niveaux : les réinitialisations de niveau 1 (faible privilège, pas d’accès aux PII) peuvent procéder avec une vérification standard ; les réinitialisations de niveau 2 (finance, RH, accès aux données de niveau intermédiaire) nécessitent une co-autorisation du responsable via un canal authentifié séparé ; les réinitialisations de niveau 3 (tout compte avec accès aux données personnelles en masse, dossiers de santé ou données de paiement) exigent un délai de réflexion obligatoire de 24 heures et une notification au titulaire du compte via un contact hors bande. Le délai de 24 heures est la fenêtre de détection qui permet au véritable titulaire de signaler la réinitialisation avant que l’attaquant n’utilise les identifiants.

3. Traiter la fatigue MFA comme un incident de sécurité, pas comme une anomalie d’authentification

Lorsqu’un employé reçoit plus de deux notifications push MFA inattendues en une session sans initier une tentative de connexion correspondante, il s’agit d’un incident de sécurité — pas d’une anomalie à journaliser et ignorer. Les RSSI doivent configurer les plateformes d’identité (Okta, Microsoft Entra, Duo) pour verrouiller automatiquement les comptes et générer une alerte SOC prioritaire après trois notifications push non sollicitées consécutives dans une fenêtre de 30 minutes. Simultanément, l’employé affecté doit recevoir une notification hors bande (SMS, e-mail personnel ou appel du responsable) lui expliquant qu’une tentative d’accès à son compte est peut-être en cours et lui donnant pour instruction de ne pas approuver les demandes MFA en attente.

4. Mettre en place des exercices red team de help desk spécifiquement pour le vishing

La formation annuelle de sensibilisation à la sécurité avec un module de simulation de phishing ne prépare pas les analystes à un appel vocal en direct d’un attaquant confiant et bien préparé qui connaît le nom du responsable de l’employé. La seule préparation efficace est l’entraînement dans des conditions réalistes. Les équipes de sécurité doivent organiser des exercices de vishing trimestriels ciblant le help desk : un red-teamer interne formé, en utilisant des données d’employés réelles disponibles via LinkedIn et des jeux de données de violations précédentes, tente de faire passer un analyste par une réinitialisation d’identifiant de niveau 3. Chaque exercice produit un analyste nommé nécessitant un coaching, une procédure nommée qui a été exploitée et un appel enregistré qui devient du matériel de formation.

La leçon structurelle : l’assurance est la nouvelle infrastructure critique ciblée

La campagne concentrée de juin 2025 contre Aflac, Erie Insurance, Philadelphia Insurance et Scania Financial — suivie semaines plus tard par des cibles dans l’aviation — révèle un schéma aux implications stratégiques qui dépassent toute liste de remédiations individuelles. Scattered Spider n’est pas un groupe opportuniste qui trébuche sur des cibles ; c’est un attaquant par rotation sectorielle qui identifie les industries disposant de réserves de données personnelles de haute valeur, d’opérations de help desk vastes et distribuées, et d’investissements en sécurité historiquement inférieurs à ceux des services financiers ou de la technologie.

L’assurance coche les trois cases. Le secteur détient des numéros de sécurité sociale, des dossiers de santé et des données financières à grande échelle. Les help desks sont souvent à haut volume, externalisés et mesurés sur la vitesse de résolution — une culture structurellement hostile aux frictions que requiert une bonne vérification d’identité. Et si les entreprises de services financiers ont durci leurs pratiques sous la contrainte de PCI DSS, DORA et des orientations FFIEC, la réglementation cybersécurité en assurance varie selon les juridictions et a historiquement été plus légère.

Pour les RSSI hors du secteur de l’assurance, la leçon se transpose directement. Toute organisation où un appel de help desk peut donner accès à des identifiants permettant d’accéder à des systèmes contenant des données personnelles en masse — santé, prestataires de paie, plateformes RH, services financiers — opère la même surface d’attaque qu’Aflac. Le manuel est public. Les contre-mesures sont connues. La question restante est de savoir si la remédiation sera priorisée avant ou après l’envoi de la lettre de notification de violation.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn

Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Questions Fréquemment Posées

Quelles données Scattered Spider a-t-il volées chez Aflac ?

Les attaquants ont exfiltré des noms, dates de naissance, adresses, numéros d’identification gouvernementaux, permis de conduire, numéros de sécurité sociale, ainsi que des dossiers médicaux et d’assurance santé incluant les données de sinistres, affectant 22,65 millions de clients, employés, agents et bénéficiaires.

Comment Scattered Spider contourne-t-il l’authentification multi-facteurs ?

Scattered Spider utilise deux techniques principales : les appels de vishing (hameçonnage vocal) auprès du personnel du help desk, où les opérateurs se font passer pour des employés et utilisent des données personnelles pré-récoltées pour pousser les analystes à réinitialiser les identifiants MFA ; et la fatigue MFA, où des demandes push répétées sont envoyées jusqu’à ce qu’un utilisateur légitime en approuve une par confusion ou fatigue.

Quelles autres compagnies d’assurance Scattered Spider a-t-il ciblées en 2025 ?

La campagne de juin 2025 attribuée à Scattered Spider a également visé Philadelphia Insurance Companies, Erie Insurance, Scania Financial Services et Allianz Life. Le même groupe a ensuite ciblé des compagnies aériennes dont WestJet, Hawaiian Airlines et Qantas.