Le 23 octobre dernier, le FAI britannique Talk Talk confirmait « la cyberattaque et la tentative de chantage dont [le] site a été victime ».
Talk Talk est un opérateur majeur proposant la télévision payante, des services de téléphonie fixe et mobile ainsi qu’un accès internet.
Les pirates ont ainsi eu accès à un fichier réunissant les données personnelles de 4 millions de clients, et pas des moindres : nom, adresse, date de naissance, adresse mail, numéro de téléphone, informations de compte Talk Talk, coordonnées bancaires et détails de la carte de crédit.
Prétendant être en Russie et former un groupe de cyberdjihadistes islamistes, ils menaçaient de divulguer des données subtilisées si une rançon ne leur était pas versée.
L’enquête, confiée à l’unité de cybercriminalité de Scotland Yard, Metropolitan Police Cyber Crime Unit, n’a pas trainé : ce mardi, la police britannique a annoncé l’arrestation d’un adolescent de 15 ans en Irlande du Nord.
« Un garçon de 15 ans a été arrêté et mis en garde à vue au commissariat de police du comté d’Antrim, où il sera entendu », a précisé l’unité de cybercrime à la manœuvre.
Si un porte-parole s’est réjoui de cette arrestation, « Nous avons conscience que c’est un épisode inquiétant pour nos clients et sommes reconnaissants à la police pour son gros travail et sa réponse rapide », le titre a dévissé en 10% en Bourse.
Accusé de ne pas avoir suffisamment protégé les données sensibles de ses clients, Talk Talk pourrait pâtir d’une fuite de sa clientèle. Le FAI distille depuis quelques conseils simples pour éviter toute intrusion (phishing par téléphone, mail ou SMS) et renonce à tout frais de résiliation.
Le régulateur des télécommunications a ouvert une enquête pour s’assurer que les données personnelles des clients étaient correctement protégées. Talk Talk risque une amende de 700 000 euros.
Comme le rapporte The Register, l’accès aux données clients aurait pu être facilité par le non-respect de la norme PCI-DSS, qui réglemente la façon dont les entreprises doivent stocker les données de cartes bancaires. Le FAI prétextait initialement une attaque DDoS pour justifier leur panne et l’accès aux données clients alors qu’une telle attaque rend l’accès aux données techniquement impossible.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Comment se ridiculiser en un communiqué : une attaque DDOS pour justifier un accès frauduleux à des données….
On ne va pas tarder à apprendre que le script kiddie a utilisé une faille toute bête, révélant l’ampleur de l’amateurisme de ce FAI.
Such a shame!
Chaque jour, ou presque, on nous apprend qu’un organisme, un opérateur, une société, un serveur, une administration etc.., ont été piratés.
Les données utilisateurs semblent être le dernier des soucis d’une majorité d’intervenants. Et quand les données sont censées être protégées les pirates y accèdent un peu trop facilement.
Négligences et manque de respect des clients semblent être la règle.
“Prétendant être en Russie et former un groupe de cyberdjihadistes islamistes”
…
Jouer sur les préjugés… Ils ont fait fort…
Et le pire… C’est que ça a marché….
J’abandonne…