Vol de données – TalkTalk écope de 400 000 livres d’amende

0
125

D’après la Loi, chaque entreprise exploitant des données personnelles d’utilisateurs est responsable de ces dernières, par exemple en cas de piratage. TalkTalk vient d’en faire les frais en écopant d’une amende record de 400 000 livres sterling par l’équivalent britannique de la Cnil, l’ICO (Information Commissioner’s Office).

Le gendarme des données personnelles outre-Manche reproche au groupe télécoms sa négligence en termes de sécurité, ayant permis la fuite des données privées de 150 000 abonnés lors d’une cyberattaque ayant visé ses serveurs à la mi-octobre 2015. L’attaquant avait pu alors s’emparer d’une base de données contenant les noms, dates de naissance, coordonnées postales, adresses mail et numéros de téléphone de 156 000 clients TalkTalk. Pire encore, 10% des victimes touchées ont aussi vu leurs coordonnées bancaires dérobées.

TalkTalk a indiqué avoir eu connaissance de l’attaque le 21 octobre 2015 par le biais d’une surcharge serveur anormale. Une demande de rançon avait ensuite été envoyée à la société. Le problème, ce sont les multiples failles dans la sécurité informatique de l’opérateur…

Les données ont été subtilisées dans une base de données clients issue du rachat de Tiscali en 2009, base gérée par un logiciel obsolète, sans aucun support actif. Ainsi, une vulnérabilité non patchée y était présente, ce qui a représenté une porte d’entrée pour les attaquants. Il n’y a eu aucun audit de la par de la firme.

Autre point critique pour TalkTalk, l’ICO a découvert que l’attaquant avait déjà procédé à une injection SQL (SQLi) pour avoir accès à la base de données le 17 juillet et une seconde attaque a eu lieu du 2 au 3 septembre. C’est à nouveau par une injection SQL que les cybercriminels se sont emparés des données client entre le 15 et le 21 octobre. Au total, ce sont donc trois cyberattaques sans aucune détection de la part de TalkTalk. Ce sont sur ces éléments de négligence que l’ICO a condamné l’opérateur à une sanction financière de 400 000 livres (le plafond légal s’élevant à 500 000).

Dans un communiqué, la commissaire Elizabeth Denham explique :

« Cette amende record se veut un avertissement aux autres que la cybersécurité n’est pas qu’un problème informatique, mais une question d’administration. Les entreprises doivent faire preuve de diligence et de vigilance. Le hacking ne doit pas fournir une excuse pour que les entreprises abdiquent de leurs obligations de cybersécurité ».

 

Source : L’Informaticien