Un client attend un service dans un magasin de téléphonie Optus à Sydney, en Australie, le jeudi 7 octobre 2021. Le gouvernement australien a déclaré le lundi 26 septembre 2022 qu'il envisageait des règles de cybersécurité plus strictes pour les entreprises de télécommunications après Optus, la nation deuxième plus grand opérateur de téléphonie mobile, a signalé que les données personnelles de 9,8 millions de clients avaient été piratées. Crédit :AP Photo/Mark Baker, Fichier
Le gouvernement australien a déclaré lundi qu'il envisageait des règles de cybersécurité plus strictes pour les entreprises de télécommunications et a blâmé Optus, le deuxième opérateur de téléphonie mobile du pays, pour une violation sans précédent des données personnelles de 9,8 millions de clients.
Optus a déclaré jeudi dernier qu'il avait pris connaissance la veille de la cyberattaque qui a obtenu les détails de 9,8 millions de personnes, sur une population australienne de 26 millions.
La ministre de la Cybersécurité, Clare O'Neil, a déclaré à Australian Broadcasting Corp. que le piratage était un "vol sans précédent d'informations sur les consommateurs dans l'histoire australienne".
Pour 2,8 millions de clients actuels et anciens d'Optus, la violation a impliqué "des quantités importantes de données personnelles", y compris des numéros de permis de conduire et de passeport, a déclaré O'Neil.
Ces 2,8 millions de personnes courent un risque important de perte d'identité et de fraude, a-t-elle déclaré.
"La violation est d'une nature que nous ne devrions pas nous attendre à voir chez un grand fournisseur de télécommunications de ce pays", a déclaré O'Neil au Parlement.
Dans certains pays, une telle violation entraînerait des amendes "s'élevant à des centaines de millions de dollars", a déclaré O'Neil.
La loi australienne ne permet pas actuellement à Optus d'être condamné à une amende pour la violation.
"Une tâche de réforme très importante va émerger d'une brèche de cette ampleur et de cette taille", a déclaré O'Neil.
"Une question importante est de savoir si les exigences de cybersécurité que nous imposons aux grands fournisseurs de télécommunications de ce pays sont adaptées à leur objectif", a-t-elle ajouté.
La police fédérale australienne a déclaré dans un communiqué que les informations selon lesquelles les données volées avaient déjà été vendues faisaient l'objet d'une enquête.
Les enquêteurs australiens travaillent avec les forces de l'ordre étrangères pour déterminer qui était derrière l'attaque et aider à protéger le public contre la fraude d'identité, indique le communiqué.
"Pour protéger l'intégrité de l'enquête pénale, l'AFP ne divulguera pas les informations qu'elle a obtenues au cours des premiers jours" de l'enquête, a indiqué la police.
Jeremy Kirk, un écrivain sur la cybersécurité basé à Sydney, a déclaré qu'il avait utilisé un forum en ligne pour les criminels qui échangent des données volées pour demander à quelqu'un qui prétendait avoir téléchargé les informations d'Optus comment elles avaient été consultées.
Optus semble avoir laissé une interface de programmation d'application, un logiciel connu sous le nom d'API qui permet à d'autres systèmes de communiquer et d'échanger des données, ouvert au public, a-t-elle déclaré.
"Il semble que ce soit un échec de la sécurisation du système logiciel, donc n'importe qui sur Internet pourrait le trouver", a déclaré Kirk à la télévision Ten Network.
O'Neil n'a pas détaillé comment la violation s'est produite, mais l'a décrite comme "un piratage assez basique".
Optus avait "en fait laissé la fenêtre ouverte pour que des données de cette nature soient volées", a-t-elle déclaré.
O'Neil a demandé à Optus d'offrir aux clients compromis une surveillance gratuite du crédit pour les protéger contre le vol d'identité, une demande à laquelle la société basée à Sydney s'est conformée plus tard lundi.
Optus a annoncé qu'il offrait à ses clients "les plus touchés" des abonnements gratuits de 12 mois à Equifax Protect, un service de surveillance du crédit et de protection de l'identité.
Optus a déclaré que les informations auxquelles un tiers non identifié avait accédé comprenaient les noms, dates de naissance, numéros de téléphone et adresses e-mail des clients.
La police et d'autres agences de sécurité gouvernementales ont travaillé tout le week-end pour protéger les clients concernés, a déclaré O'Neil.
Les agences gouvernementales travaillaient également avec le secteur bancaire pour protéger les clients.
"C'est complexe. C'est juridiquement et techniquement complexe, mais nous travaillons sur une solution", a déclaré O'Neil.
Le Premier ministre Anthony Albanese a décrit la violation comme "un énorme signal d'alarme pour le secteur des entreprises".
Albany a annoncé des modifications potentielles des dispositions en matière de confidentialité afin que les banques puissent agir plus rapidement pour protéger leurs propres clients après une telle violation.
"Nous savons que dans le monde d'aujourd'hui, il y a des acteurs - certains acteurs étatiques, mais aussi certaines organisations criminelles - qui veulent accéder aux données des gens", a déclaré Albanese.
Le directeur général d'Optus, Kelly Bayer Rosmarin, a déclaré la semaine dernière dans un communiqué :"Nous sommes dévastés de découvrir que nous avons fait l'objet d'une cyberattaque qui a entraîné la divulgation des informations personnelles de nos clients à quelqu'un qui ne devrait pas les voir".
© 2022 L'Associated Press. Tous les droits sont réservés. Ce matériel ne peut être publié, diffusé, réécrit ou redistribué sans autorisation. Comment ne pas dire aux clients que leurs données sont en danger :les dangers de l'approche Optus