Le piratage de données ayant frappé Allianz Life en juillet 2025 soulève une onde de choc dans le secteur de l’assurance. Avec 1,1 million d’enregistrements uniques exposés et un volume brut atteignant 2,8 millions de fichiers, cette attaque rappelle la vulnérabilité des chaînes logicielles qui sont de plus en plus frappées par les pirates.
Piratage chez Allianz : 1,1 million de clients exposés
By
Published on 20 août 2025 7h17
179,8 MILLIARDS €Le chiffre d'affaires d'Allianz a atteint 179,8 milliards d'euros en 2024.
Le 16 juillet 2025, Allianz Life, filiale américaine du géant allemand de l’assurance Allianz, a confirmé avoir subi un piratage massif de données personnelles. L’incident provient d’un prestataire tiers de gestion de la relation client, probablement Salesforce, et aurait touché la majorité des 1,4 million de clients américains.
Allianz Life : les données de presque tous les clients ont été volées
Selon l’Associated Press, la cyberattaque a ciblé un système CRM externe utilisé par Allianz Life, et non les serveurs internes de l’entreprise. Ce vecteur illustre un schéma devenu courant : près de 30 % des violations de données en 2025 sont liées à des tiers, d’après une étude citée par le Financial Times.
Les assaillants, liés aux groupes ShinyHunters et Scattered Spider, ont exploité cette brèche pour dérober des informations sensibles. D’après TechCrunch, les données compromises incluent les noms complets, le genre, les dates de naissance, les adresses physiques et électroniques ainsi que les numéros de téléphone.
Dans plusieurs États américains, notamment au Texas et au Massachusetts, des numéros de sécurité sociale auraient également été compromis. Ce type de piratage place les consommateurs dans une position de grande vulnérabilité face aux risques de fraude à l’identité.
Des volumes colossaux de données personnelles dans la nature
La gravité de l’incident se mesure aux chiffres dévoilés. BleepingComputer rapporte la fuite de 2,8 millions d’enregistrements, parmi lesquels environ 1,1 million d’enregistrements uniques validés par la plateforme de référence Have I Been Pwned. Cette dernière a confirmé la présence de combinaisons précises de données personnelles, exposant directement les assurés concernés.
L’analyse effectuée par Have I Been Pwned résume l’étendue du problème : les données comportent les mails et les données personnelles des clients, y compris des données sensibles comme leur genre, leur date de naissance ou encore l’adresse postale. Ces éléments, une fois croisés, représentent une mine d’or pour les cybercriminels spécialisés dans le phishing, l’usurpation d’identité ou l’ouverture de lignes de crédit frauduleuses.
Allianz Life a reconnu que « la majorité des 1,4 million de clients américains » étaient concernés. La plupart des clients américains ont vu leurs données exposées, confirmant l’ampleur du piratage. Pour contenir la crise, l’assureur a proposé 24 mois de protection contre le vol d’identité et un suivi de crédit via un prestataire spécialisé.
Le risque d’une attaque à haut potentiel de fraude
Ce piratage illustre les menaces systémiques auxquelles le secteur de l’assurance est confronté. Les données personnelles collectées par Allianz Life représentent des actifs extrêmement attractifs pour les hackers : elles combinent identité civile, coordonnées et informations fiscales. Leur diffusion partielle sur Telegram, évoquée par SecurityWeek, montre que ces fuites servent également à accroître la visibilité et la réputation des groupes criminels impliqués.
Les experts en cybersécurité alertent sur l’effet domino de tels piratages. Une seule fuite peut entraîner des vagues d’escroqueries à grande échelle, en particulier dans un contexte où les consommateurs sont déjà exposés à des menaces récurrentes de phishing bancaire. Dans le cas présent, l’association des informations nominatives avec des numéros de sécurité sociale ouvre la voie à des scénarios de fraude sophistiqués, contre lesquels les mécanismes de protection classiques peinent à lutter.
En réaction, Allianz a notifié les autorités fédérales, dont le FBI, et communiqué avec le procureur général du Maine, comme le rapporte Cybersecurity Dive. L’entreprise insiste sur le fait que ses systèmes internes n’ont pas été compromis. Toutefois, cette distinction technique n’amoindrit pas l’impact pour les victimes.