TridentLocker : une attaque par ransomware expose les données du programme de santé du WTC

Certains incidents de violation de données exposent des numéros de carte bancaire. D’autres révèlent des adresses e-mail. Mais dans ce cas précis, ce sont les dossiers médicaux, numéros de Sécurité sociale et formulaires de santé remplis des membres du World Trade Center Health Program qui ont été divulgués — un programme fédéral créé pour prendre en charge les hommes et femmes intervenus après les attentats du 11 septembre, ayant survécu aux nuages toxiques ou ayant vécu et travaillé dans la zone sinistrée.

Résumé de l’incident

1. Une attaque par ransomware a exposé des données hautement sensibles du WTC Health Program. Le 4 décembre 2025, Managed Care Advisors/Sedgwick Government Solutions (MCA/SGS) — un sous-traitant fédéral chargé de la gestion des indemnisations et des soins pour des agences gouvernementales américaines — a découvert qu’un serveur SFTP d’entreprise avait été compromis. L’intrusion remontait au 16 novembre 2025, lorsqu’un tiers non autorisé a accédé au serveur et chiffré les fichiers. Ce serveur hébergeait les fichiers de l’ancien prestataire du Nationwide Provider Network pour le World Trade Center Health Program, une initiative fédérale offrant gratuitement un suivi médical et des soins aux personnes touchées par le 11 septembre.
2. L’ampleur des données exposées est considérable — et leur nature, particulièrement préjudiciable. Il ne s’agit pas d’une simple fuite d’adresses e-mail ou de mots de passe. Les informations divulguées comprennent noms et prénoms, adresses personnelles, numéros de Sécurité sociale, dates de naissance, images de dossiers médicaux et formulaires du WTC Health Program contenant des informations médicales protégées. Pour les membres du programme — souvent des premiers intervenants, travailleurs du nettoyage ou survivants déjà confrontés à des pathologies chroniques dues à l’exposition toxique du 11 septembre — ces données révèlent les aspects les plus intimes de leur histoire médicale et de leur identité.
3. TridentLocker revendique l’attaque et diffuse les données sur le dark web. Le groupe de ransomware TridentLocker a publié environ 3,39 Go de données de l’organisation sur un site du dark web hébergé sur Tor le 30 décembre 2025. TridentLocker fonctionne selon le modèle ransomware-as-a-service (RaaS) et a émergé fin novembre 2025, utilisant la double extorsion : chiffrement des systèmes et menace de publication des données volées en cas de non-paiement de la rançon. Depuis son apparition, le groupe a revendiqué 12 victimes, couvrant les secteurs de l’industrie, du gouvernement, de l’IT et des services professionnels en Amérique du Nord et en Europe.
4. La divulgation officielle a eu lieu plusieurs mois après la violation. MCA/SGS a signalé l’incident au procureur général du New Hampshire le 10 février 2026 — près de trois mois après l’accès non autorisé initial du 16 novembre 2025. Les notifications aux personnes concernées ont débuté le 11 février 2026. Bien que le dépôt fasse d’abord état d’environ trois résidents du New Hampshire, la nature des données — dossiers du WTC Health Program issus d’un réseau national — indique que l’exposition concerne bien plus qu’un seul État.
5. L’infrastructure SFTP reste une cible de choix, encore trop peu sécurisée. La faille a exploité un serveur SFTP — une infrastructure de transfert de fichiers qui, par conception, centralise des données sensibles provenant de multiples prestataires et programmes. Les serveurs SFTP utilisés dans la santé ou le secteur public stockent souvent d’importants volumes d’informations médicales protégées et d’informations personnelles identifiables dans des dépôts concentrés, ce qui les rend particulièrement attractifs pour les opérateurs de ransomwares. Cet incident met en lumière une vulnérabilité persistante dans la gestion des systèmes de transfert de fichiers par les entités réglementées et leurs partenaires, surtout lorsque ces systèmes servent des programmes de santé spécialisés manipulant des données extrêmement sensibles.

Ce contexte est essentiel. Il modifie totalement l’évaluation des risques.

Le WTC Health Program, géré par le National Institute for Occupational Safety and Health (NIOSH) des CDC, propose un suivi médical et des soins pour les pathologies liées au 11 septembre, sans frais pour les intervenants et survivants éligibles. Les bénéficiaires sont pompiers, policiers, ambulanciers, ouvriers du BTP impliqués dans les opérations de nettoyage et de reconstruction, ainsi que des habitants exposés aux contaminants toxiques libérés lors de l’effondrement des tours du World Trade Center. Beaucoup souffrent de cancers, maladies respiratoires, troubles digestifs ou psychologiques liés à leur exposition. Leurs dossiers médicaux ne sont pas de simples documents administratifs : ils retracent en détail les expositions professionnelles, l’évolution des maladies chroniques et les traitements en cours, liés à l’un des événements majeurs de l’histoire américaine.

Quand ces dossiers se retrouvent sur un site de fuite du dark web, le préjudice est concret.

Ce qui s’est passé : chronologie

La séquence des événements est limpide, et c’est justement là le problème.

Le 16 novembre 2025, un tiers a accédé sans autorisation à un serveur SFTP d’entreprise géré par Managed Care Advisors/Sedgwick Government Solutions. Ce serveur stockait les fichiers liés au Nationwide Provider Network du WTC Health Program. L’attaquant a chiffré les fichiers sur le serveur — une signature typique d’une attaque par ransomware.

MCA/SGS a découvert la violation le 4 décembre 2025. Le serveur concerné a été isolé, toutes les connexions désactivées, et une sauvegarde sécurisée a été restaurée le lendemain, 5 décembre. L’entreprise a fait appel à Mandiant, cabinet reconnu en réponse à incident, pour une analyse forensique, et a informé le FBI.

Le 30 décembre 2025, TridentLocker a publié environ 3,39 Go de données de l’organisation sur un site de fuite du dark web hébergé sur Tor. Le groupe a revendiqué l’attaque, selon le schéma classique de la double extorsion : chiffrer les systèmes, voler les données, puis menacer de les divulguer si la rançon n’est pas payée.

Sedgwick a confirmé publiquement l’incident début janvier 2026, en précisant que sa filiale gouvernementale est isolée du reste des opérations Sedgwick et qu’aucun serveur de gestion de sinistres n’a été touché. La notification officielle au procureur général du New Hampshire a suivi le 10 février 2026, avec des notifications individuelles à partir du 11 février.

Les personnes concernées bénéficient d’un an de surveillance de crédit et de protection contre l’usurpation d’identité via Kroll, et un centre d’appel dédié a été mis en place pour répondre à leurs questions.

Pourquoi les serveurs SFTP restent-ils des cibles privilégiées ?

Si la violation Managed Care Advisors vous semble familière, c’est parce qu’elle s’inscrit dans une tendance observée depuis des années dans la santé et le secteur public. Les infrastructures de transfert de fichiers — serveurs SFTP, plateformes de transfert sécurisé de fichiers (MFT) et systèmes similaires — sont régulièrement le point d’entrée de violations majeures.

La raison est simple. Les serveurs SFTP sont conçus pour recevoir, stocker et transmettre des fichiers entre organisations. Dans la santé, ces fichiers contiennent souvent la plus forte concentration d’informations médicales protégées et d’informations personnelles identifiables de tout l’environnement : données de sinistres, dossiers d’éligibilité, images médicales, formulaires d’inscription, numéros de Sécurité sociale, etc. Un seul serveur SFTP peut centraliser des données sensibles issues de multiples prestataires, programmes et agences.

Pour les attaquants, l’infrastructure SFTP est une cible idéale. Compromettre un seul serveur peut offrir un volume massif de données de grande valeur, sans avoir à se déplacer latéralement dans le réseau ou à contourner plusieurs couches de sécurité des postes de travail.

Les mesures de protection à mettre en place sont bien connues : authentification forte (authentification multifactorielle, pas seulement des mots de passe), chiffrement des données au repos et en transit, contrôle d’accès strict limitant les personnes et systèmes autorisés, surveillance en temps réel et alertes en cas d’accès anormal, et journaux d’audit immuables pour une traçabilité forensique.

Les principes du zéro trust — vérification de chaque demande d’accès, application du moindre privilège, et hypothèse de compromission par défaut — sont particulièrement pertinents pour les systèmes de transfert de fichiers qui centralisent des données sensibles issues de plusieurs sources.

Pourtant, les violations impliquant des systèmes SFTP et MFT révèlent régulièrement des failles dans l’un ou plusieurs de ces domaines. Qu’il s’agisse d’authentification faible, d’accès non surveillés, de chiffrement manquant au repos ou d’absence de détection d’anomalies, le schéma se répète parce que les fondamentaux sont négligés sur des systèmes qui ne bénéficient pas toujours de la même attention que les applications cliniques majeures.

Le paysage du ransomware dans la santé s’aggrave

L’incident MCA/SGS ne s’est pas produit isolément. Il survient au pire moment jamais connu en matière de ransomware dans le secteur de la santé.

Les attaques par ransomware dans la santé ont atteint leur pic trimestriel fin 2025, avec 190 incidents recensés au quatrième trimestre, selon le rapport de veille de Health-ISAC. Au total, 8 903 incidents cyber ont été enregistrés tous secteurs confondus en 2025, soit une hausse de 55 % par rapport à 2024. Les incidents spécifiques à la santé ont augmenté de 21 % sur un an.

Les chiffres sont alarmants, mais les méthodes le sont encore plus. On estime que 96 % des attaques par ransomware visant la santé impliquent désormais une exfiltration de données — le modèle de double extorsion où les attaquants volent les données avant de chiffrer les systèmes. Même si une organisation parvient à restaurer ses systèmes grâce à des sauvegardes, les données volées offrent aux attaquants un second levier : payez, ou nous publions les dossiers de vos patients.

C’est exactement ce qui s’est produit avec TridentLocker et MCA/SGS. Les données n’ont pas seulement été chiffrées. Elles ont été volées puis publiées sur un site de fuite du dark web. La restauration des sauvegardes a permis de reprendre l’activité, mais n’a rien changé au fait que les données des membres du WTC Health Program étaient déjà entre les mains d’un groupe criminel.

L’écosystème du ransomware s’est fragmenté. Des groupes plus petits, plus agiles, et de nouvelles plateformes ransomware-as-a-service dominent désormais le paysage. TridentLocker en est l’exemple : apparu fin novembre 2025, il avait déjà revendiqué une douzaine de victimes début janvier 2026. Les barrières à l’entrée pour les opérations de ransomware continuent de baisser, et la santé, avec sa forte concentration d’informations médicales protégées et sa sensibilité opérationnelle, reste le secteur le plus ciblé.

Des risques réglementaires et juridiques majeurs

Lorsqu’une violation concerne à la fois des informations personnelles identifiables et des informations médicales protégées — et qu’elle touche un programme de santé fédéral soumis à la HIPAA et au James Zadroga 9/11 Health and Compensation Act — l’exposition réglementaire va bien au-delà d’une simple offre de surveillance de crédit.

L’Office for Civil Rights (OCR) du HHS, chargé de faire appliquer la HIPAA Security Rule, a intensifié ses actions contre les entités réglementées et leurs partenaires qui n’appliquent pas les exigences de sécurité de base. Rien que sur les cinq premiers mois de 2025, l’OCR a annoncé 10 accords avec des organismes de santé suite à des violations, avec des amendes atteignant plusieurs millions de dollars. Un constat récurrent : des organisations qui n’avaient jamais évalué correctement leurs propres vulnérabilités de sécurité.

Pour MCA/SGS, les questions des régulateurs sont prévisibles. L’authentification multifactorielle était-elle appliquée sur le serveur SFTP compromis ? Les données au repos étaient-elles chiffrées ? Les contrôles d’accès limitaient-ils l’accès aux fichiers du WTC Health Program ? Une surveillance en temps réel et une détection d’anomalies étaient-elles en place ? Un journal d’audit immuable permet-il de reconstituer précisément quelles données ont été consultées et quand ?

Au-delà de l’enquête réglementaire, des recours collectifs se préparent déjà. Des avocats examinent la possibilité pour les personnes concernées de réclamer réparation pour atteinte à la vie privée, frais engagés et autres préjudices liés à la violation. Pour une population déjà fragilisée par les conséquences sanitaires du 11 septembre, la menace de vol d’identité et de fraude médicale vient s’ajouter à une situation déjà lourde.

Que doivent faire les personnes concernées dès maintenant ?

Si vous avez reçu une notification de violation de Managed Care Advisors/Sedgwick Government Solutions, ou si vous pensez que vos données ont pu être exposées via le Nationwide Provider Network du WTC Health Program, voici les mesures à prendre sans attendre.

Inscrivez-vous au service gratuit de surveillance de crédit et de restauration d’identité proposé via Kroll. Ce service dure 12 mois et vous alerte en cas d’activité suspecte sur votre dossier de crédit.

Demandez vos rapports de crédit gratuits auprès des trois principaux organismes — Equifax, Experian et TransUnion — et examinez-les attentivement pour détecter tout compte, demande ou activité inconnue.

Envisagez de placer une alerte à la fraude ou un gel de sécurité sur vos dossiers de crédit. Une alerte à la fraude avertit les créanciers qu’ils doivent vérifier votre identité avant d’ouvrir de nouveaux comptes. Un gel de sécurité va plus loin, empêchant toute ouverture de compte à votre nom tant que vous ne levez pas le gel.

Surveillez vos relevés de prestations (EOB) et toute correspondance liée à la santé pour détecter d’éventuels signes de fraude médicale. En cas d’exposition d’informations médicales protégées, il existe un risque réel que des données volées servent à obtenir des soins ou des médicaments à votre nom, ce qui peut fausser vos dossiers médicaux et compliquer votre prise en charge.

Pour toute question, MCA/SGS a mis en place un centre d’appel dédié pour accompagner les personnes concernées.

Enseignements pour les organisations gérant des données de santé sensibles

L’incident Managed Care Advisors/Sedgwick illustre les risques spécifiques auxquels s’exposent les organisations qui gèrent des infrastructures de transfert de fichiers pour des programmes de santé spécialisés. Trois priorités se dégagent.

Considérez les systèmes de transfert de fichiers comme des cibles de grande valeur, car les attaquants le font déjà. Les serveurs SFTP, plateformes MFT et systèmes similaires qui centralisent des données sensibles de plusieurs sources nécessitent des contrôles de sécurité adaptés à leur niveau de risque : authentification multifactorielle, chiffrement au repos et en transit, contrôles d’accès granulaires basés sur les rôles, détection d’anomalies en temps réel et journaux d’audit immuables. Ce ne sont pas des objectifs à long terme, mais des exigences minimales pour les systèmes stockant des informations médicales protégées et des informations personnelles identifiables.

Appliquez les principes du zéro trust à chaque flux de données, pas seulement au périmètre réseau. Passer à une architecture zéro trust implique de vérifier chaque demande d’accès, d’appliquer le moindre privilège pour que chaque utilisateur ou système n’accède qu’aux données nécessaires à sa mission, et de considérer que tout composant de l’environnement peut être compromis. Pour les systèmes de transfert de fichiers, cela signifie contrôler l’accès au niveau des dossiers et fichiers, restreindre les connexions par IP et zone géographique, et limiter dans le temps l’accès des collaborateurs temporaires. La confiance ne doit jamais être implicite.

Anticipez et testez la résilience face au ransomware avant d’en avoir besoin. Des sauvegardes chiffrées et segmentées sont essentielles. Les plans de réponse aux incidents doivent intégrer les scénarios de double extorsion où les données sont volées avant chiffrement. La capacité à reconstituer précisément ce qui a été consulté, quand et par qui — la « forensic readiness » — n’est pas optionnelle dès lors que des informations médicales protégées sont en jeu. Et ce plan doit être testé régulièrement, pas laissé de côté jusqu’au jour où le serveur SFTP tombe en panne.

Pourquoi l’ancien SFTP pose problème — et comment y remédier

Voici la réalité inconfortable révélée par cette violation : l’infrastructure SFTP traditionnelle n’a jamais été conçue pour l’environnement de menaces actuel. Les déploiements SFTP hérités reposent généralement sur des scripts manuels, des serveurs dispersés et des outils de sécurité ajoutés après coup, créant plus de failles que de protection. Chaque serveur a sa propre configuration, ses propres règles d’accès, son propre format de journal — quand il y en a un. Lorsqu’un groupe comme TridentLocker cible un de ces serveurs, l’organisation est souvent incapable de savoir ce qui a été volé, et encore moins de prouver aux régulateurs que des contrôles étaient en place avant la compromission.

C’est ce problème d’architecture qui a rendu la violation MCA/SGS possible. Ce n’est pas un manque de sensibilisation, mais un manque de consolidation.

Kiteworks a été conçu pour éliminer précisément ce type de risque. Son approche de la sécurité SFTP commence au niveau de l’infrastructure et s’étend vers l’extérieur, remplaçant le modèle fragmenté par une plateforme unifiée centralisant les règles, l’administration et les journaux d’audit pour chaque canal de transfert de fichiers.

La base repose sur une appliance virtuelle durcie, avec une architecture sécurisée par défaut et une surface d’attaque minimale. Un pare-feu intégré et un pare-feu applicatif Web protègent le périmètre, tandis qu’une philosophie « assume breach » protège contre les menaces persistantes avancées. Ce n’est pas une résilience théorique : lors de la faille Log4Shell, l’architecture d’isolation de Kiteworks a réduit l’exposition d’un CVSS 10 critique à un CVSS 4. La plateforme est continuellement renforcée selon les meilleures pratiques OWASP, des stratégies de sécurité offensives et défensives, des tests d’intrusion tiers et des bounty programs.

Le chiffrement va plus loin que la plupart des solutions SFTP. Kiteworks propose un double chiffrement des données au repos, TLS 1.3 pour les données en transit, des clés détenues par le client (BYOK) pour un contrôle total sur le matériel cryptographique, et des options de chiffrement validées FIPS 140-3 conformes aux exigences fédérales. Dans la violation MCA/SGS, le serveur SFTP compromis stockait des données du WTC Health Program. Si ces données avaient été protégées par un double chiffrement avec des clés gérées par le client, l’exfiltration seule n’aurait pas permis à TridentLocker d’exploiter les fichiers.

Côté sécurité du contenu, Kiteworks applique un échange de données zéro trust qui considère chaque fichier comme une menace potentielle. La technologie Content Disarm and Reconstruction (CDR) élimine les menaces embarquées en reconstruisant tous les fichiers avant livraison. Chaque fichier est analysé — sans limite de taille — via des moteurs antivirus multiples, avec renseignement sur les menaces en temps réel et analyse comportementale pour détecter les zero-day. Cette couche intercepte les fichiers piégés avant qu’ils n’atteignent le serveur et signale toute activité anormale si un attaquant tente d’utiliser le canal de transfert pour exfiltrer des données.

La prévention des pertes de données est unifiée sur SFTP, e-mail, partage de fichiers et API sous un moteur de règles unique. Kiteworks évalue le contenu en temps réel selon ce que contient le fichier, qui l’envoie et où il va — puis applique des workflows automatisés de remédiation : quarantaine, chiffrement, notifications. L’intégration avec les plateformes DLP d’entreprise comme Microsoft Purview et Forcepoint permet aux organisations de conserver leur investissement DLP tout en renforçant la sécurité du transfert de fichiers.

La couche audit et conformité est là où Kiteworks répond à l’un des aspects les plus dommageables des violations comme celle de MCA/SGS : l’incapacité à répondre aux questions des régulateurs a posteriori. Chaque action sur chaque canal alimente un journal d’audit unifié avec intégration SIEM pour la surveillance centralisée. L’automatisation des règles intégrée élimine les vulnérabilités liées aux scripts manuels des déploiements SFTP hérités. Les systèmes de détection d’intrusion assurent une surveillance continue. Et la plateforme entière prend en charge l’autorisation FedRAMP High-ready et IRAP pour les organisations soumises à des exigences de sécurité gouvernementales.

Le facteur différenciant, c’est la consolidation. L’ancien SFTP disperse les données sensibles sur plusieurs serveurs, chacun avec sa propre posture de sécurité, ses failles et ses angles morts. Kiteworks remplace cette fragmentation par une architecture de réseau de données privé à locataire unique, des contrôles d’accès centralisés selon le moindre privilège, une intégration LDAP et SSO pour l’authentification, et un moteur de règles unique pour tous les transferts de fichiers de l’organisation. Moins de serveurs. Moins de failles. Moins de cachettes pour un TridentLocker.

L’incident MCA/SGS rappelle aussi une leçon plus large, apprise à la dure par le secteur de la santé : les partenaires et sous-traitants manipulant des informations médicales protégées prolongent la posture de sécurité de l’entité réglementée. Les membres du WTC Health Program dont les données ont été exposées n’ont pas choisi MCA/SGS comme dépositaire. Ils se sont inscrits à un programme fédéral. L’obligation de protéger leurs informations s’étend à chaque sous-traitant, prestataire et système de la chaîne — et l’infrastructure utilisée pour stocker et transférer ces données est le maillon où cette obligation se confirme ou s’effondre.