Cabinet d’avocats : une faille expose 3,5 millions de personnes

Posted On 03 Fév 2025

Un cabinet d’avocats réputé dans la tourmente. Une violation de données de grande ampleur a touché Wolf Haldenstein, mettant en danger les informations personnelles de millions d’individus.

Malgré la détection initiale de l’incident en décembre 2023, Wolf Haldenstein a découvert qu’un accès non autorisé avait visé son environnement informatique. En réponse, le cabinet a immédiatement sécurisé ses systèmes et entamé une enquête approfondie, assisté par des experts externes en cybersécurité, afin de déterminer la portée et la nature de l’incident. Les détails n’ont été révélés qu’après des mois d’investigation. L’incident a été détecté quatre mois plus tard et finalement rendue publique fin 2024.

L’attaque de décembre 2023 a permis à des acteurs malveillants d’accéder à des données sensibles, on parle ici de 3 445 537 de personnes concernées (sic!), notamment des noms, numéros de sécurité sociale, diagnostics médicaux, et des informations relatives aux indemnisations. Ces éléments constituent une cible de choix pour les cybercriminels, ouvrant la porte à des risques accrus de vol d’identité, de fraudes financières et de revente dans le dark web. Le cabinet a engagé une société spécialisée pour analyser l’ampleur de la brèche et renforcer ses mesures de sécurité. Cependant, le processus de notification des personnes concernées s’est révélé complexe. Au 3 décembre 2024, Wolf Haldenstein avait identifié les individus potentiellement touchés, mais n’a pas pu tous les informer directement, faute d’adresses valides.

Une gestion de crise sous haute surveillance

Le 10 janvier 2025, soit plus d’un an après la détection de la malveillance informatique, le cabinet d’avocats indique : « Wolf Haldenstein Adler Freeman & Herz LLP (“Wolf Haldenstein”) informe le public qu’un événement récent pourrait concerner la sécurité de certaines informations en sa possession. La confidentialité et la protection des données qu’il gère constituent des priorités essentielles pour ce cabinet. […] L’enquête a révélé que des données sensibles, comprenant possiblement des informations personnelles, ont pu être exposées. Sur la base de ces découvertes, Wolf Haldenstein a identifié les personnes concernées et leur a envoyé des courriers de notification, conformément aux exigences légales. Par précaution, le cabinet a proposé des services de surveillance de crédit et de protection d’identité gratuits aux individus potentiellement affectés.«

La gestion de cette crise a soulevé des questions sur la capacité de Wolf Haldenstein à protéger les données qu’il détient. Dès la détection de l’activité suspecte sur son réseau, le cabinet a pris des mesures pour sécuriser ses systèmes. Toutefois, le retard dans la détection de l’attaque, de l’identification des données compromises et dans la notification des victimes a suscité des critiques.

La loi américaine impose aux entreprises victimes de violations de données de communiquer rapidement sur les incidents affectant les informations personnelles. Dans ce cas, le délai entre la découverte de l’incident et sa divulgation a dépassé les standards habituels, 1 an.

Les informations exposées incluaient notamment des diagnostics médicaux et des demandes d’indemnisation médicale, des données particulièrement sensibles et protégées par des lois strictes comme la Health Insurance Portability and Accountability Act (HIPAA). Bien que le cabinet ait affirmé qu’il n’existe aucune preuve d’une utilisation malveillante des données. Pas encore, pense ZATAZ, pas encore !

Inscrivez-vous gratuitement à la newsletter de ZATAZ. Rejoignez également notre groupe WhatsApp et nos réseaux sociaux pour accéder à des informations exclusives, des alertes en temps réel et des conseils pratiques pour protéger vos données.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.