“Nous sommes profondément désolés”, ont lu en majuscules tous les grands journaux australiens ce week-end. L’expéditeur est la société de télécommunications Optus, qui s’est excusée pour une violation de données qui a laissé les informations sensibles à la vie privée de 9,8 millions de clients dans la rue. Il a été qualifié de plus grande violation de données de l’histoire australienne.
Le drame a commencé il y a plus d’une semaine. La deuxième plus grande entreprise de télécommunications d’Australie a remarqué des mouvements suspects sur le réseau et a averti les clients que des données telles que les noms, les dates de naissance, les adresses, les adresses e-mail et les numéros de téléphone des clients existants et anciens avaient été volées. Près de trois millions de personnes sont particulièrement vulnérables au vol d’identité parce que leurs numéros de permis de conduire et de passeport ont également été divulgués.
Quelques jours plus tard, les données de dix mille clients étaient mises en vente sur le ‘toile sombre‘. Un pirate informatique autoproclamé a exigé une rançon de 1 million de dollars. Peu de temps après, le pirate a changé d’avis et s’est excusé. Les données ont de nouveau été supprimées, mais le mal est fait. Les données ont été copiées et circulent toujours sur le web. Vendredi dernier, la police australienne a annoncé une opération spéciale pour protéger les victimes. Le FBI est également impliqué.
Informations insuffisantes
Près de 40% de la population australienne pourrait être victime de la violation de données. Cela provoque un énorme chaos. L’aide a jusqu’à présent été imparfaite et non coordonnée, laissant les victimes se sentir livrées à elles-mêmes. Plus d’une semaine après l’annonce de la nouvelle, loin d’être tous les clients concernés ont été informés. « J’ai dû lire dans le journal qu’il y avait eu une violation de données. Et je n’ai toujours pas eu de nouvelles d’Optus”, a déclaré Charo Devery (69 ans). Elle essaie de changer tous ses mots de passe depuis des jours et essaie de changer son numéro de permis de conduire.
Devery est un entrepreneur et se fait appeler ‘féru de technologie‘. Mais cela ne s’applique pas à tous les clients dupés. « J’ai des amis qui m’appellent en panique parce qu’ils ne savent pas quoi faire. J’essaie de les aider, mais cela prend beaucoup de temps », dit-elle.
Il y a beaucoup de spéculations sur la façon dont cela aurait pu se produire et qui est derrière tout cela. L’entreprise et la police n’ont encore rien confirmé. Peu de temps après les premiers rapports sur la fuite, le PDG Kelly Bayer Rosmarin a traversé la poussière et s’est excusé lors d’une conférence de presse émouvante. « C’était une attaque avancée. Je ne peux pas en dire plus, sauf que nous sommes vraiment désolés”, a-t-elle déclaré.
Mal sécurisé
Mais il est de plus en plus évident que les données étaient mal sécurisées. Il semble que l’entreprise ait laissé la porte dérobée du numérique grande ouverte. On pense qu’il s’agit d’une API (Application Programming Interface) vulnérable, utilisée pour échanger des données et donner accès aux données de millions d’Australiens.
Claire O’Neil, ministre de la cybersécurité, a fustigé la société de télécommunications. “Ce n’était pas une attaque avancée. Je suis très préoccupé par le fait qu’un piratage assez simple ait été possible chez un important fournisseur de télécommunications de notre pays. » elle a dit au radiodiffuseur public australien abc.
Les experts en cybersécurité sont d’accord. “Si le pirate informatique avait obtenu les informations via une API non sécurisée, le vol aurait été en effet très simple”, déclare Alastair MacGibbon de la société de sécurité CyberCX au journal L’âge. En fait, il serait si facile de demander les données que le vol n’est même pas officiellement considéré comme un piratage.
Atteinte à la réputation
Le fait que les données étaient apparemment à gagner a causé d’énormes dommages à la réputation de l’entreprise de télécommunications. Cela n’aide pas que la demande de rançon soit remarquablement faible et puisse indiquer un pirate informatique amateur. Un million de dollars américains est l’un des montants les plus bas jamais exigés en matière de vol de données à grande échelle. On plaisante sur les réseaux sociaux que le pirate dr. Le mal vient du film Austin Powers, qui ne se rend pas compte qu’un million de dollars, ce n’est pas beaucoup d’argent de nos jours. On ne sait pas pourquoi le pirate a changé d’avis. Optus dit qu’il n’a pas payé de rançon.
La tempête de critiques ne vise pas seulement la société de télécommunications, les lois et réglementations inadéquates en matière de confidentialité en Australie sont également examinées de près. La législation sur la protection de la vie privée remonte à 1988. Les amendes pour les entreprises qui traitent les données des clients avec négligence sont très faibles. « L’amende maximale que nous pouvons imposer pour violation de nos lois sur la protection de la vie privée est de 2,2 millions de dollars. C’est une goutte d’eau dans l’océan pour une énorme entreprise comme Optus”, a déclaré le secrétaire à la cybersécurité O’Neil.
Amendes plus élevées
C’est pourquoi les experts estiment que l’Australie devrait introduire les mêmes réglementations qui sont en place en Europe depuis longtemps. Avocat Tony Song de l’Université de Nouvelle-Galles du Sud demande l’introduction de l'”étalon-or” de l’Union européenne en matière de protection des données. “Les amendes devraient être beaucoup plus élevées, non seulement pour les criminels qui volent les données, mais aussi pour les entreprises qui collectent nos données”, dit-il.
Le secrétaire O’Neil admet que la législation actuelle est inadéquate. “Nous avons probablement une décennie de retard”, a-t-elle déclaré à ABC. Il y a plus d’un an, une nouvelle loi sur la cybersécurité a été introduite, mais elle ne s’applique pas aux entreprises de télécommunications. Le ministre veut changer cela. « À l’époque, les entreprises de télécommunications disaient qu’elles étaient si bonnes en matière de cybersécurité que nous n’avions pas à nous inquiéter. Ce n’est clairement pas le cas.”
Le Premier ministre Anthony Alban a exprimé son soutien à une réglementation plus stricte. „C’est un énorme réveil téléphonique pour les Australiens », a déclaré l’Albanais. Il veut qu’Optus paie les nouveaux passeports et permis de conduire des clients dupés. L’entreprise a déjà promis de le faire.
Des victimes, comme Charo Devery, envisagent désormais une action en justice contre l’entreprise. En outre, Devery espère que le gouvernement tiendra sa promesse de mieux protéger les citoyens. «Ils font beaucoup de bruit maintenant, car cela leur convient politiquement. Je n’ai pas encore vu si cela change vraiment quelque chose.
Une version de cet article est également parue dans le journal du 3 octobre 2022