NYC Health + Hospitals : des pirates ont volé les données médicales et les empreintes digitales d'au moins 1,8 million de personnes

Selon TechCrunch, le réseau hospitalier public de New York, NYC Health + Hospitals, a indiqué qu'à la suite d'une cyberattaque les données médicales et les empreintes digitales d'au moins 1,8 million de personnes avaient été volées. L'incident figure parmi les plus grandes fuites de données de santé aux États-Unis ces dernières années.

Dans un avis publié lundi, le système hospitalier a indiqué que la fuite, détectée en février 2026, avait été confirmée à l'issue d'une longue analyse criminalistique. La date exacte du début de l'intrusion n'est pas arrêtée, mais les estimations remontent à septembre 2025.

Les données dérobées comprennent les noms des patients, leur date de naissance, leur adresse, leur numéro de sécurité sociale, leurs antécédents médicaux et leurs résultats de laboratoire. Selon TechCrunch, les empreintes digitales figurent aussi parmi les données biométriques volées lors de l'attaque.

NYC Health + Hospitals est le plus grand réseau hospitalier public des États-Unis. Il prend en charge environ 1,4 million de patients par an et gère les 11 hôpitaux et plus de 70 cliniques de la ville. Le système traite également les patients couverts par le programme fédéral Medicaid et par les régimes d'assurance de la ville.

Lors d'un point presse, le directeur général du réseau, le Dr Mitchell Katz, a déclaré : « Nous proposons à tous les patients concernés des services gratuits de protection d'identité et de surveillance du crédit. Le ministère fédéral de la Santé et le procureur général de l'État ont également été informés. »

Le groupe à l'origine de l'attaque n'a pas encore été publiquement identifié. Selon les sources en cybersécurité interrogées par TechCrunch, l'opération s'apparente davantage à une campagne de vol de données qu'à une attaque par rançongiciel. Les systèmes opérationnels des hôpitaux n'ont pas été interrompus.

Les fuites de données de santé aux États-Unis ont fortement progressé sur les trois dernières années. Selon le département fédéral de la Santé et des Services sociaux, le nombre total de patients concernés a dépassé les 168 millions en 2024. L'incident chez NYC Health + Hospitals constitue la plus grande fuite de données de santé aux États-Unis enregistrée en 2026 à ce jour.

Sur le plan du contenu, le vol d'empreintes digitales est particulièrement préoccupant. Comme les empreintes sont des données biométriques non modifiables, une fois fuitées, elles ne peuvent plus servir de manière fiable à l'authentification. Les patients dont les empreintes ont été volées ne peuvent plus les utiliser en toute sécurité pour de futures applications de sécurité.

NYC Health + Hospitals a annoncé qu'en réaction à la fuite il lance un programme de renforcement de la cybersécurité doté de 90 millions de dollars. Ce budget financera des équipes d'audit externes, l'extension de l'authentification multifactorielle à l'ensemble du personnel et la mise au rebut des systèmes anciens.

Au niveau fédéral, le FBI et l'unité de cybersécurité du ministère de la Santé ont rejoint l'enquête. NYC Health + Hospitals a mis en place un centre d'appels (1-855-360-3045) et un site Internet dédié pour informer les patients concernés. L'organisation prévoit que son enquête durera de 18 à 24 mois supplémentaires.