Un panneau de téléphone Optus est suspendu au-dessus de son magasin à Sydney, en Australie, le jeudi 7 octobre 2021. Le mercredi 28 septembre 2022, les gouvernements fédéral et des États australiens ont demandé à Optus de payer pour le remplacement des documents d'identification, y compris les passeports et les permis de conduire, pour éviter l'usurpation d'identité après que 9,8 millions de clients de la société de télécommunications se soient fait voler des données personnelles par des pirates informatiques. Crédit :AP Photo/Mark Baker, Fichier
Les gouvernements fédéral et des États australiens ont appelé mercredi Optus à payer pour le remplacement des documents d'identification, y compris les passeports et les permis de conduire, afin d'éviter la fraude d'identité après que 9,8 millions de clients de la société de télécommunications se soient fait voler des données personnelles par des pirates informatiques.
Le gouvernement australien a blâmé la cybersécurité laxiste d'Optus pour la violation sans précédent de la semaine dernière des informations personnelles des clients actuels et anciens.
Les 2,8 millions de clients dont les numéros de permis de conduire et de passeport ont été volés sont les plus exposés au risque d'usurpation d'identité.
Le Premier ministre Anthony Albanese a rejeté les appels des législateurs de l'opposition demandant au gouvernement de renoncer aux coûts de remplacement des passeports compromis des clients Optus.
"Nous pensons qu'Optus devrait payer, pas les contribuables", a déclaré Albanese au Parlement.
Mercredi, la ministre des Affaires étrangères Penny Wong a écrit au PDG d'Optus, Kelly Bayer Rosmarin, lui demandant sa "confirmation la plus rapide" que la société basée à Sydney paierait pour les passeports des clients vulnérables.
"Rien ne justifie que ces Australiens - ou plus largement les contribuables en leur nom - supportent le coût de l'obtention d'un nouveau passeport", a écrit Wong.
Optus n'a pas immédiatement répondu à une demande de commentaire.
Différents États ont eu des réponses variables aux demandes de remplacement de permis de conduire - le Queensland et l'Australie du Sud ont annoncé des remplacements gratuits pour les clients concernés tandis que la Nouvelle-Galles du Sud facturera les clients d'Optus pour les permis de remplacement. Mais le gouvernement de l'État a déclaré qu'il s'attend à ce qu'Optus offre des remboursements en quelques jours. L'État de Victoria a également demandé à Optus de payer pour de nouvelles licences, mais continue de facturer les clients de l'entreprise.
Optus a proposé cette semaine à ses clients "les plus touchés" une surveillance gratuite du crédit pendant un an.
Le gouvernement fédéral n'a appris que les numéros d'identification des clients des soins de santé figuraient parmi les données volées mardi matin, lorsque les dossiers de 10 000 clients ont été jetés sur le dark web dans le cadre d'une tentative d'extorsion par le pirate qui a demandé à Optus de payer une rançon de 1 million de dollars. Les soi-disant numéros d'assurance-maladie sont acceptés comme preuve d'identité, comme les passeports et les permis de conduire.
Le ministre de la Santé, Mark Butler, a déclaré que son gouvernement n'avait pas encore décidé mercredi si les clients d'Optus avaient besoin de nouvelles cartes Medicare.
"Nous sommes très préoccupés… par la perte de ces données et nous travaillons très dur pour en gérer les conséquences", a déclaré Butler à Australian Broadcasting Corp.
"Mais nous sommes particulièrement préoccupés par le fait que nous n'avons pas été informés plus tôt et que les consommateurs n'ont pas été informés plus tôt de la violation des données de Medicare", a-t-il ajouté. Optus a découvert la faille le 21 septembre.
Le pirate informatique, qui utilise le nom en ligne Optusdata, a retiré une demande de rançon mardi dans un message en ligne affirmant que les données volées avaient été détruites.
Optusdata a suggéré que la tentative d'extorsion avait attiré trop d'attention, a déclaré qu'aucune rançon n'avait été payée et a présenté ses excuses à Optus ainsi qu'à ses clients.
L'ancien conseiller spécial du Premier ministre sur la cybersécurité, Alastair MacGibbon, a qualifié ce scénario de "trop beau pour être vrai".
MacGibbon, qui est maintenant consultant en cybersécurité, soupçonnait que la rançon avait été payée ou que les données avaient été vendues.
Un autre scénario probable était que le pirate se taisait pour le moment tout en planifiant une autre façon de monétiser les données, a déclaré MacGibbon.
"J'ai passé environ 30 ans à traiter avec des criminels. Je ne leur fais pas confiance", a déclaré MacGibbon.
"Donc, j'aimerais penser que ce criminel a soudainement trouvé la bonté et la lumière et a décidé que la chaleur était trop forte et que je supprime les 10 millions de détails. Je suis un peu plus méfiant que cela", a ajouté MacGibbon.
© 2022 L'Associated Press. Tous les droits sont réservés. Ce matériel ne peut être publié, diffusé, réécrit ou redistribué sans autorisation. L'Australie réfléchit à des lois plus strictes sur la cybersécurité après une violation de données