25 millions d'Américains exposés : la violation de données gouvernementales chez Conduent

Un rapport de violation publié en mars 2026 a mis en lumière l'impact croissant d'une violation de données chez Conduent, un prestataire gouvernemental, affectant plus de 25 millions d'Américains. La violation, attribuée au groupe de rançongiciel SafePay, a exposé 8,5 téraoctets de données, notamment des numéros de sécurité sociale, des dossiers médicaux et des informations sur l'assurance maladie. Des États comme l'Oregon (10,5 millions) et le Texas (15,4 millions) représentent une part importante des victimes.

25 millions d'Américains exposés : la violation de données gouvernementales chez Conduent

Une importante violation de données chez Conduent, une entreprise qui traite des informations sensibles pour le compte d'agences gouvernementales, a exposé les dossiers personnels de plus de 25 millions d'Américains. La violation, perpétrée par le groupe de rançongiciel SafePay, a entraîné le vol de 8,5 téraoctets de données, notamment des numéros de sécurité sociale, des dossiers médicaux et des informations sur l'assurance maladie. Si vous vivez en Oregon ou au Texas, il est particulièrement probable que vos informations aient été compromises dans cet incident.

Cette violation rappelle avec force que vos données personnelles ne résident pas uniquement sur vos propres appareils. Elles vivent dans les systèmes de prestataires, de sous-traitants et de fournisseurs tiers dont vous n'avez jamais entendu parler, et sur les pratiques de sécurité desquels vous n'avez aucun contrôle.

Qui est Conduent et pourquoi est-ce important ?

Conduent est une société de services aux entreprises qui gère des tâches administratives et de traitement de données pour des agences gouvernementales à travers les États-Unis. Cela signifie qu'elle traite régulièrement les types d'informations les plus sensibles : données relatives aux prestations sociales, dossiers de santé et numéros de sécurité sociale liés à l'identité et à la vie financière de personnes réelles.

Lorsqu'une entreprise comme Conduent subit une violation, les conséquences se répercutent bien au-delà d'une seule agence ou d'un seul État. L'Oregon a signalé environ 10,5 millions de résidents affectés. Le Texas en a signalé environ 15,4 millions. Ces deux États à eux seuls représentent une part significative des 25 millions de victimes au total, mais la violation a vraisemblablement touché des résidents dans plusieurs États ayant contracté avec Conduent pour des services gouvernementaux.

Le groupe de rançongiciel SafePay a revendiqué la responsabilité de l'attaque. Les groupes de rançongiciels de ce type exfiltrent généralement les données avant de chiffrer les systèmes, ce qui leur donne un levier pour exiger un paiement et la possibilité de vendre ou de divulguer les données volées, même si une rançon est versée.

Le vrai risque : les numéros de sécurité sociale et les dossiers médicaux n'ont pas de date d'expiration

Toutes les violations de données ne présentent pas le même niveau de risque à long terme. Les mots de passe volés peuvent être modifiés. Les adresses e-mail compromises peuvent être surveillées. Mais les numéros de sécurité sociale et les dossiers médicaux appartiennent à une catégorie totalement différente.

Votre numéro de sécurité sociale est en pratique permanent. Une fois entre les mains d'un criminel, il peut être utilisé pour ouvrir des comptes de crédit frauduleux, déposer de fausses déclarations fiscales ou commettre une usurpation d'identité médicale — parfois des années après la violation initiale. Les dossiers médicaux ajoutent une couche supplémentaire d'exposition, révélant des pathologies, des médicaments et des informations d'assurance qui peuvent être exploités dans le cadre de fraudes à l'assurance ou de campagnes d'hameçonnage ciblées.

C'est pourquoi la violation chez Conduent mérite davantage d'attention qu'une fuite classique d'identifiants. Les données en cause sont du type qui alimente le vol d'identité pendant des années, et non seulement dans les semaines qui suivent un incident.

Ce que cela signifie pour vous

Même si vous n'avez jamais interagi directement avec Conduent, vos données ont pu transiter par leurs systèmes si vous avez bénéficié de prestations gouvernementales, d'une couverture de santé ou de services sociaux dans un État concerné. Voici ce que vous devriez envisager de faire dès maintenant :

Consultez les lettres de notification de violation. Si vous êtes résident de l'Oregon ou du Texas, surveillez les notifications officielles des agences d'État indiquant si vos dossiers ont été impliqués.
Effectuez un gel de crédit. Un gel de crédit auprès des trois principales agences (Equifax, Experian et TransUnion) est l'un des moyens les plus efficaces de bloquer l'ouverture de comptes frauduleux à l'aide de votre numéro de sécurité sociale.
Surveillez vos relevés d'explication des prestations (EOB). L'usurpation d'identité médicale se manifeste souvent par des demandes de remboursement ou des prestataires inconnus sur vos relevés d'assurance maladie.
Restez vigilant face à l'hameçonnage ciblé. Les attaquants qui détiennent vos informations personnelles peuvent rédiger des e-mails ou passer des appels convaincants semblant provenir d'agences gouvernementales ou d'assureurs. Traitez tout contact non sollicité avec un scepticisme salutaire.
Utilisez des mots de passe forts et uniques et activez l'authentification à deux facteurs sur tous les comptes liés à des services gouvernementaux ou à des portails de santé.

Il vaut également la peine de réfléchir plus largement à vos habitudes en matière de confidentialité numérique. Les violations de ce type sont de plus en plus fréquentes, et les données exposées se retrouvent souvent sur des marchés du dark web où elles sont regroupées et revendues. Limiter votre exposition globale — grâce à de solides pratiques de confidentialité et à des outils réduisant la quantité de vos activités pouvant être suivies ou interceptées — est une réponse raisonnable dans un monde où les violations à grande échelle sont devenues monnaie courante.

Le risque lié aux tiers est l'affaire de tous

La violation chez Conduent s'inscrit dans un schéma plus large. Les agences gouvernementales et les grandes institutions délèguent régulièrement le traitement des données à des prestataires, et ces prestataires peuvent représenter le maillon faible d'une chaîne par ailleurs sécurisée. En tant que particulier, vous n'avez presque aucune visibilité sur les fournisseurs qui détiennent vos informations ni sur la qualité de leur protection.

C'est une réalité frustrante, mais elle renforce la raison pour laquelle prendre en main sa propre confidentialité est important. L'utilisation d'un VPN comme hide.me n'empêchera pas un prestataire gouvernemental d'être victime d'une violation, mais constitue une couche parmi d'autres dans une approche globale visant à préserver la confidentialité de votre activité en ligne — en particulier lorsque vous utilisez des réseaux publics ou partagés où vos données sont le plus exposées. Développer des habitudes axées sur la confidentialité — notamment la navigation chiffrée, une gestion rigoureuse de vos comptes et une veille active sur les violations qui vous concernent — est une réponse pragmatique face à un paysage de menaces que vous ne pouvez pas entièrement maîtriser.

Les 25 millions d'Américains touchés par la violation chez Conduent n'ont rien fait de mal. Leurs données étaient simplement détenues par une organisation qui est devenue une cible. La meilleure défense consiste à rester informé, à agir rapidement lorsque des violations surviennent, et à faire de la protection de vos données personnelles une habitude régulière plutôt qu'une réflexion après coup.