Après le piratage, début octobre, de l’opérateur télécom T-Mobile aux USA, c’est au tour de l’opérateur britannique TalkTalk d’avoir été victime d’une « cyberattaque » révélé en fin de semaine dernière. Cette cyber-attaque a permis à des hackers de mettre la main sur un fichier complet de 4 millions de clients, données bancaires comprises. Apparemment, elle a été suivie d’une demande de rançon adressée à la Directrice Générale de l’opérateur.
L’opérateur de télécom britannique TalkTalk, qui fournit de la télévision payante, des services de téléphonie fixe et mobile ainsi que d’accès à internet, a reconnu jeudi, avoir été victime d’une « cyber-attaque significative et durable » sur son site internet, après l’avoir fermé mercredi sans explications. Des données personnelles, et non des moindres, de 4 millions de clients auraient potentiellement été dérobées par les hackers, a avoué la Directrice Générale de la compagnie, Dido Harding. Les informations piratées inclueraient le nom, l’adresse et les coordonnées bancaires des clients de Talk Talk.
Un piratage suivi d’une demande de rançon
La Directrice Générale de TalkTalk s’est présentée vendredi devant les caméras de la BBC pour présenter ses excuses, et expliquer qu’elle avait reçu un e-mail de demande de rançon venant du hacker ou du groupe de hackers présumés. Elle est tentée d’y voir un signe encourageant ; les hackers auraient du mal à dérober de l’argent directement à partir des données volées, et préféreraient faire du chantage auprès du fournisseur d’accès. Belle illustration de la méthode Coué!!
Dido Harding a également déclaré qu’elle ne pouvait pas garantir que toutes les données des clients qui ont été volées étaient cryptées et elle a admis que, avec le recul, l’entreprise aurait pu faire plus sur la sécurisation des données de ses clients. « La société va maintenant lancer une enquête interne« , a-t-elle déclaré.
Selon le site spécialisé The Register, l’accès aux données bancaires aurait pu être facilité par le fait que TalkTalk ne respecterait pas le standard PCI DSS qui fixe les normes de protection des données des numéros de carte de paiement. Dans un premier temps l’entreprise avait tenté d’expliquer le piratage par une simple attaque DDOS, qui n’explique en rien l’accès à des données sécurisées.
Une enquête a été ouverte par l’unité chargée de la cyber-criminilatité de la police de Londres ( Metropolitan Police Cyber Crime Unit) qui a indiqué être « au courant de spéculations sur les auteurs présumés » de l’attaque, sans les confirmer. Selon un ancien enquêteur de cette unité du cybercrime de Scotland Yard interviewé par BBC Radio 4, les auteurs « prétendent être en Russie et être un groupe jihadiste cyber-islamiste« .
Attention aux tentatives d’hameçonnage
Une page web dédiée, sur le site web de l’opérateur, a été consacrée à la communication sur cet incident. Le Directeur de la Relation Clients de TalkTalk Tristia Harrison a cherché à rassurer les clients sur le fait que l’entreprise est «en train de prendre toutes les mesures possibles » afin de garder leurs informations en toute sécurité alors que, de l’aveu même de TalkTalk, les données n’étaient pas complètement cryptées.
Cette page web mentionne par ailleurs, en caractères gras:
« S’il vous plaît, soyez bien conscient que TalkTalk n’appelle JAMAIS ses clients pour leur demander de fournir des informations bancaires sauf si vous nous avez déjà donné explicitement l’autorisation de le faire ». Il s’agit clairement d’une mise en garde des clients contre des tentatives redoutées d’hameçonnage (phishing), phénomène extrêmement fréquent sur lequel nous vous avons mis en garde sur notre blog il y a encore quelques jours.
Cet avertissement est probablement une réaction aux incidents de février dernier, dans lequel les coordonnées des clients de Talk Talk, volées lors du piratage affectant l’un des partenaires de l’opérateur, ont été utilisées pour extorquer de l’argent par téléphone aux clients de TalkTalk.
Malheureusement, ce ne sont pas les seules fois où TalkTalk a été victime de cybercriminalité. En Août dernier, Carphone Warehouse a subi une cyber-attaque sur son système informatique conduisant à un vol de données affectant 2,4 millions de clients de Dixon Carphone incluant, par ricochet ceux qui avaient souscrit un abonnement à TalkTalk Mobile.
Des conséquences fâcheuses à prévoir pour l’opérateur
L’affaire pourrait avoir des conséquences beaucoup plus fâcheuses pour l’opérateur et pour ses clients. Le lendemain de la révélation de l’incident, le titre de TalkTalk perdait près de 10 % en bourse, les investisseurs anticipant logiquement une perte de confiance des clients envers un opérateur qui, visiblement, n’a pas correctement crypté et sécurisé les données bancaires de ses abonnés, qui sont les informations les plus sensibles (à cet égard le piratage d’Orange en 2014, qui avait fait 1 million de victimes, était beaucoup moins grave).
Par ailleurs, la législation Britannique est, à ce niveau, beaucoup plus contraignante que la législation des pays francophones qui reste très en retrait sur ce type de problèmes. L’opérateur britannique risque en effet, s’il se confirme que ses données clients n’étaient pas correctement cryptées, de devoir payer une amende importante (plus de 200.000 €) sur demande de l’ICO (Information Comissioner’s Office).
La survie même de l’opérateur est menacée car la dégradation de son image risque fort de lui coûter la perte de bon nombre de ses clients, sans parler des coûts directs et indirects pour se remettre de l’attaque subie.
A titre de comparaison, le coût de la cyber-attaque subie par TV5 Monde en Avril dernier s’évalue d’ores et déjà, selon son Directeur Général Yves Bigot, entre 4,3 et 5 millions d’Euros pour l’année 2015 et environ 11 millions d’Euros pour les trois prochaines années, pour un piratage aux impacts bien plus limités. La cyber-attaque du même type que Talk Talk, visant le distributeur TARGET aux USA fin 2013 et ayant exposé 40 millions de clients, aurait déjà coûté à l’Entreprise près de 500 millions de dollars en pertes consécutives à cet incident.
Comment ne pas en arriver là?
La clé pour ne pas en arriver à ce type d’incident est de prévoir, avant qu’une tentative de piratage n’ait lieu, plutôt que de réagir à postériori. La prévention commence par la sensibilisation de tout le personnel à la cyber-sécurité (voir notre article : 10 clés pour une sensibilisation réussie à la sécurité).
Il faut, bien entendu, également prendre les mesures techniques indispensables en vous appuyant sur vos équipes informatiques. Mais la première action consiste à sensibiliser votre Conseil d’Administration et votre Comité de Direction sur leurs responsabilités et les risques encourus par l’Organisation car c’est à leur niveau que se situent les responsabilités de prise des décisions d’investissement sur la cyber-sécurité et la cyber-résilience, et de rédaction des politiques de l’Entreprise, incluant bien entendu la politique de sécurité.
AB Consulting, seul Organisme de Formation Accrédité en Afrique par ISACA, APMG, EXIN et AXELOS sur les domaines de la Gouvernance, de la sécurité et de la cyber-résilience vous propose des sessions de sensibilisation tout spécialement adaptées à des cibles spécifiques (dirigeants, personnels des métiers, informaticiens) et animées par un expert du domaine. Toutes sessions peuvent être organisées sur mesure pour votre Entreprise et se dérouler dans vos locaux ou de façon délocalisée, y compris sous forme de week-end :
Sensibilisation à RESILIA (2 formats : 4 heures ou 1 journée)
COBIT 5 pour le Board et les Exécutifs (2 formats : 4 heures ou 1 journée)
Sensibilisation à ISO 27001 / ISO 27002 pour les dirigeants (1 journée)
Pour toute information complémentaire ou pour vous abonner à notre newsletter, merci de compléter le formulaire de contact :