📰 Contexte
Source : BankInfoSecurity / HealthInfoSec, publié le 18 juin 2026. L’article couvre le règlement judiciaire proposé dans l’affaire de la violation de données MCNA Dental, suite à une attaque ransomware LockBit survenue en 2023.
🎯 L’incident
En mars 2023, le groupe LockBit a revendiqué une attaque ransomware contre MCNA Dental (Managed Care of North America), l’un des plus grands prestataires de soins dentaires pour enfants aux États-Unis, filiale de UnitedHealth Group depuis novembre 2020. Les attaquants ont exfiltré 700 gigaoctets de données confidentielles et exigé une rançon de 10 millions de dollars.
MCNA n’ayant pas payé la rançon, LockBit a publié les données volées sur son site dark web le 7 avril 2023, les rendant téléchargeables par quiconque.
👥 Victimes et données compromises
L’incident a affecté près de 9 millions de personnes, dont des patients, parents, tuteurs et garants. Les données potentiellement compromises incluent :
- Noms, adresses physiques et e-mails
- Dates de naissance, numéros de sécurité sociale
- Numéros de permis de conduire et pièces d’identité gouvernementales
- Informations d’assurance maladie (Medicaid, Medicare)
- Informations relatives aux soins dentaires et orthodontiques
Plus de 100 organisations ont été affectées, dont des agences gouvernementales d’États américains (Arkansas, New York, Floride, Idaho, Iowa, Louisiane, Nebraska).
⚖️ Règlement judiciaire
Un règlement a été déposé le 12 juin 2026 devant un tribunal fédéral de Floride. Les principaux éléments financiers sont :
- Jusqu’à 2 500 $ par membre pour frais non remboursés (plafonné à 250 000 $ au total)
- 2 ans de surveillance des données médicales avec couverture vol d’identité de 1 million $
- Valeur de détail totale des bénéfices estimée à plus de 3,2 milliards $
- Frais administratifs jusqu’à 2 millions $
- Honoraires d’avocats jusqu’à 6,4 millions $
- Frais de litige jusqu’à 1,3 million $
- Valeur totale estimée du règlement : environ 19 millions $
MCNA et son co-défendeur Healthplex (acquis en 2019) nient tout acte répréhensible.
🔒 Incident connexe
Dans une affaire séparée, l’unité Healthplex de MCNA a été condamnée à une amende de 2,4 millions $ par les régulateurs de l’État de New York en 2023 et 2025 pour défaut de protection des données (absence d’authentification multifacteur) suite à une violation par phishing affectant 90 000 personnes.
📌 Nature de l’article
Article de presse spécialisée relatant le dénouement judiciaire d’un incident de cybersécurité majeur, à visée informative pour les professionnels de la santé numérique et de la conformité.
🧠 TTPs et IOCs détectés
Acteurs de menace
- LockBit (cybercriminal) — MITRE ATT&CK
TTP
- T1486 — Data Encrypted for Impact (Impact)
- T1567 — Exfiltration Over Web Service (Exfiltration)
- T1657 — Financial Theft (Impact)
- T1566 — Phishing (Initial Access)
Malware / Outils
- LockBit (ransomware)
🟡 Indice de vérification factuelle : 35/100 (moyenne)
- ⬜ bankinfosecurity.com — source non référencée (0pts)
- ✅ 6181 chars — texte complet (fulltext extrait) (15pts)
- ⬜ aucun IOC extrait (0pts)
- ⬜ pas d’IOC à vérifier (0pts)
- ✅ 4 TTPs MITRE identifiées (15pts)
- ⬜ date RSS ou approximée (0pts)
- ✅ acteur(s) identifié(s) : LockBit (5pts)
- ⬜ pas de CVE à vérifier (0pts)
🔗 Source originale : https://www.bankinfosecurity.com/multimillion-dollar-settlement-reached-in-mcna-dental-hack-a-32017