Piratage Experian : T-Mobile US paie les pots cassés
Les données personnelles de 15 millions de clients T-Mobile US ont probablement été volées. L’opérateur est victime collatérale d’une attaque contre un de ses partenaires.
Jeudi noir pour John Legere.
Le CEO de T-Mobile US (filiale de l’Allemand Deutsche Telekom) aura passé beaucoup de temps sur les réseaux sociaux pour tenter de clarifier la situation après une cyber-attaque qui a potentiellement exposé les données personnelles de 15 millions de clients.
L’opérateur télécoms américain n’a pas été directement visé. C’est l’un de ses partenaires qui s’est fait pirater. En l’occurrence Experian, qui gère les vérifications de solvabilité pour les souscripteurs d’offres mobiles et pour les acquéreurs de téléphones avec facilité de paiement.
Noms, adresses postales, dates de naissance, numéros de Sécurité sociale, pièces d’identité (passeport, permis, carte militaire…) : autant d’informations qui ont vraisemblablement été aspirées, mais pas encore exploitées, d’après les deux sociétés, passées en mode gestion de crise. L’ensemble était chiffré. Il est toutefois précisé, dans la FAQ créée pour l’occasion, que les pirates ont tout a fait pu contourner la barrière.
La découverte de cette faille remonte au 15 septembre 2015. Experian détecte alors plusieurs accès non autorisés sur l’un de ses serveurs. Les données liées aux vérifications de solvabilité devant être conservées pour un minimum de 25 mois en vertu des lois américaines, toutes les personnes ayant souscrit une offre entre le 1er septembre 2013 et le 16 septembre 2015 pourraient être affectées.
Soumis, comme tous les partenaires de T-Mobile US, à des règles strictes de sécurité doublées d’audits réguliers, Experian assume l’entière responsabilité dans ce dossier. L’entreprise offre à tous les individus potentiellement concernés des services gratuits de suivi de crédit – pendant 2 ans, via ProtectMyID – et de restauration d’identité.
Elle a lancé, en parallèle, une enquête en collaboration avec les autorités fédérales et internationales. Tout en vérifiant le bon fonctionnement de ses pare-feu applicatifs, en améliorant la sécurité des clés de chiffrement et en limitant les autorisations d’accès à ses serveurs.
John Legere se dit « très énervé » par cet épisode et annonce sa volonté de « remettre à plat le partenariat avec Experian ». Dans sa lettre aux clients, il précise qu’aucune information bancaire n’a été exfiltrée dans le cadre de cette cyber-attaque. Et d’ajouter que les abonnés concernés seront notifiés par voie postale, mais aussi lorsqu’ils se connecteront à leur espace personnel en ligne.
Crédit photo : Pixelparticle – Shutterstock.com