 |
|
|
| |
|
|
| Sommaire Sécurité |
|
| La sécurité d'AT&T prise en défaut |
| L'opérateur américain a été victime d'une importante intrusion informatique. Le butin se chiffre à 19 000 numéros de cartes de crédit. La réactivité d'AT&T devrait cependant empêcher toute exploitation des données.
(01/09/2006) |
|
Le quotidien n'est actuellement pas de tout repos pour l'opérateur historique américain, AT&T. Son image, déjà sérieusement écornée en raison de son implication dans les écoutes téléphoniques commanditées par le gouvernement, subit une nouvelle éraflure avec l'annonce cette semaine d'une attaque informatique.
L'opération, en grande partie couronnée de succès, a été menée le week-end dernier. Elle a permis aux pirates de dérober les données de pas moins de 19 000 clients d'AT&T, dont notamment leur numéro de carte de crédit.
Seuls les acheteurs ayant passé commande d'équipements ADSL depuis la boutique en ligne de l'opérateur sont ici concernés. Les pirates se sont en effet emparé du précieux butin numérique en forçant l'accès à l'un des serveurs du site Internet où les données étaient stockées.
Néanmoins, l'attaque ne devrait fort heureusement demeurer qu'un demi-succès. Rapidement alerté, le site Internet était fermé seulement quelques heures plus tard. AT&T, dans un délai relativement bref, a ensuite pris contact avec les éditeurs de cartes bancaires et les banques afin d'empêcher aux pirates de tirer profit de leur vol.
Bien que réactive face à la menace, la société est restée plutôt discrète sur l'affaire. Il est certes vrai que des déboires de cette nature n'incitent que rarement à se montrer prolixe. La directrice en charge de la confidentialité a déclaré "regretter sincèrement cet incident".
Toutefois, en réparation, AT&T propose "de prendre en charge le suivi des comptes clients touchés par cette attaque", et notamment les frais d'opposition facturés par les banques. L'entreprise a commencé dès cette semaine à prendre contact avec les clients concernés. Par ailleurs, un numéro gratuit d'information a été mis en place
| 91 millions de données volées aux Etats-Unis depuis 1 an |
AT&T n'est évidemment pas la seule firme a avoir été la cible d'attaques analogues. Les sites de e-commerce et les banques font notamment des victimes toutes désignées. Selon l'association Privacy Rights Clearinghouse, près de 91 millions de données ont ainsi été volées aux Etats-Unis depuis février 2005.
Les administrations américaines ont elles aussi été frappées de plein fouet par des affaires de pertes et de vols de données sensibles. Il semble que le retentissement ait été suffisamment important pour que ces dernières se décident à adopter des mesures de sécurité proportionnées au risque.
Ainsi en juillet, l'OMB (Office of Management and Budget) a adressé un memo à l'ensemble des agences fédérales (lire l'article du 10/07/2006). Dorénavant, elles devront recourir au chiffrement des données de leurs périphériques mobiles, qu'il s'agisse de téléphones, smartphones, PDA ou ordinateurs portables. Quant aux accès distants, ils seront désormais protégés par une double authentification.
Les agences fédérales disposaient de 45 jours pour se conformer à ces nouvelles obligations de sécurité. Le Département des vétérans a quant à lui alloué 3 millions de dollars pour installer des logiciels de cryptage des données sur les postes de travail, portables et appareils mobiles de l'ensemble de ses employés (lire la brève du 30/08/2006).
|
| |
| |
|
|
|
|
|
|
Dossier 