{"id":1088,"date":"2015-10-26T13:25:45","date_gmt":"2015-10-26T12:25:45","guid":{"rendered":"http:\/\/www.ab-consulting.fr\/blog\/?p=1088"},"modified":"2015-10-26T13:47:44","modified_gmt":"2015-10-26T12:47:44","slug":"piratage-operateur-telecom","status":"publish","type":"post","link":"http:\/\/www.ab-consulting.fr\/blog\/securite\/piratage-operateur-telecom","title":{"rendered":"Encore un piratage d’op\u00e9rateur mobile"},"content":{"rendered":"

Apr\u00e8s le piratage, d\u00e9but octobre, de l’op\u00e9rateur t\u00e9l\u00e9com T-Mobile aux USA, c’est au tour de l’op\u00e9rateur britannique TalkTalk d’avoir\u00a0\u00e9t\u00e9 victime d’une \u00ab cyberattaque \u00bb r\u00e9v\u00e9l\u00e9 en\u00a0fin de semaine derni\u00e8re. Cette cyber-attaque a permis \u00e0 des hackers de mettre la main sur un fichier complet de 4 millions de clients, donn\u00e9es bancaires comprises. Apparemment,\u00a0elle\u00a0a \u00e9t\u00e9 suivie d’une demande de ran\u00e7on adress\u00e9e \u00e0 la Directrice G\u00e9n\u00e9rale de l’op\u00e9rateur.<\/em><\/p>\n

\"Op\u00e9rateur<\/a><\/p>\n

L\u2019op\u00e9rateur de t\u00e9l\u00e9com britannique TalkTalk, qui fournit de la t\u00e9l\u00e9vision payante, des services de t\u00e9l\u00e9phonie fixe et mobile ainsi que\u00a0d\u2019acc\u00e8s \u00e0 internet, a reconnu jeudi, avoir \u00e9t\u00e9 victime d\u2019une\u00a0 \u00ab cyber-attaque significative et durable<\/em>\u00a0\u00bb sur son site internet, apr\u00e8s l’avoir\u00a0ferm\u00e9 mercredi sans explications. Des donn\u00e9es personnelles, et non des moindres, de 4 millions de clients auraient\u00a0potentiellement \u00e9t\u00e9 d\u00e9rob\u00e9es par les hackers, a avou\u00e9 la Directrice G\u00e9n\u00e9rale de la compagnie, Dido Harding. Les informations pirat\u00e9es inclueraient le nom, l’adresse et les coordonn\u00e9es bancaires des clients de Talk Talk.<\/p>\n

\"piratage<\/p>\n

\"Piratage<\/p>\n

Un piratage suivi d’une demande de ran\u00e7on<\/h2>\n

La Directrice G\u00e9n\u00e9rale de TalkTalk s\u2019est pr\u00e9sent\u00e9e vendredi\u00a0devant les cam\u00e9ras de la BBC<\/a> pour pr\u00e9senter ses excuses, et expliquer qu\u2019elle avait re\u00e7u un e-mail de demande de ran\u00e7on venant du hacker ou du groupe de hackers pr\u00e9sum\u00e9s. Elle est tent\u00e9e\u00a0d\u2019y voir un signe encourageant ; les hackers auraient du mal \u00e0 d\u00e9rober\u00a0de l\u2019argent directement \u00e0 partir des donn\u00e9es vol\u00e9es, et pr\u00e9f\u00e9reraient faire du chantage aupr\u00e8s du fournisseur d’acc\u00e8s. Belle illustration\u00a0de la m\u00e9thode Cou\u00e9!!<\/p>\n

Dido Harding a \u00e9galement d\u00e9clar\u00e9 qu’elle ne pouvait pas garantir que toutes les donn\u00e9es des clients qui ont \u00e9t\u00e9 vol\u00e9es \u00e9taient\u00a0crypt\u00e9es et elle a admis que, avec le recul, l’entreprise aurait pu faire plus sur la s\u00e9curisation\u00a0des donn\u00e9es de ses clients. \u00ab\u00a0La soci\u00e9t\u00e9 va maintenant\u00a0lancer une enqu\u00eate interne<\/em>\u00ab\u00a0,\u00a0a-t-elle d\u00e9clar\u00e9.<\/p>\n

Selon le site sp\u00e9cialis\u00e9\u00a0The Register<\/a>, l\u2019acc\u00e8s aux donn\u00e9es bancaires aurait pu \u00eatre facilit\u00e9 par le fait que TalkTalk ne respecterait pas le standard PCI DSS qui fixe les normes de protection des donn\u00e9es des num\u00e9ros de carte de paiement. Dans un premier temps l\u2019entreprise avait tent\u00e9 d\u2019expliquer le piratage par une simple attaque DDOS, qui n\u2019explique en rien l\u2019acc\u00e8s \u00e0 des donn\u00e9es s\u00e9curis\u00e9es.<\/p>\n

Une enqu\u00eate a \u00e9t\u00e9 ouverte par l’unit\u00e9 charg\u00e9e de la cyber-criminilatit\u00e9 de la police de Londres (\u00a0Metropolitan Police Cyber Crime Unit) qui a indiqu\u00e9 \u00eatre \u00ab\u00a0au courant de sp\u00e9culations sur les auteurs pr\u00e9sum\u00e9s<\/em>\u00a0\u00bb de l’attaque, sans les confirmer. Selon un ancien enqu\u00eateur de cette unit\u00e9 du cybercrime de Scotland Yard interview\u00e9 par BBC Radio 4, les auteurs \u00ab\u00a0pr\u00e9tendent \u00eatre en Russie et \u00eatre un groupe jihadiste cyber-islamiste<\/em>\u00ab\u00a0.<\/p>\n

Attention aux tentatives d’hame\u00e7onnage<\/h2>\n

Une page web d\u00e9di\u00e9e<\/a>, sur le site web de l’op\u00e9rateur, a \u00e9t\u00e9 consacr\u00e9e \u00e0 la communication sur cet incident. Le Directeur de la Relation Clients\u00a0\u00a0de TalkTalk Tristia Harrison a cherch\u00e9 \u00e0 rassurer\u00a0les clients sur le fait que l’entreprise est \u00aben train de prendre toutes les mesures possibles\u00a0\u00bb afin de\u00a0garder leurs informations en toute s\u00e9curit\u00e9 alors que, de l’aveu m\u00eame de TalkTalk, les donn\u00e9es n’\u00e9taient pas compl\u00e8tement crypt\u00e9es.<\/p>\n

Cette page web mentionne par ailleurs, en caract\u00e8res gras:<\/p>\n

\u00ab\u00a0S’il vous pla\u00eet, soyez bien conscient que TalkTalk n’appelle JAMAIS\u00a0ses clients\u00a0pour leur demander de fournir des informations bancaires sauf\u00a0si vous\u00a0nous avez d\u00e9j\u00e0 donn\u00e9 explicitement\u00a0l’autorisation de le faire\u00a0\u00bb. Il s’agit clairement d’une mise en garde des clients contre des tentatives redout\u00e9es d’hame\u00e7onnage (phishing), ph\u00e9nom\u00e8ne extr\u00eamement fr\u00e9quent sur lequel nous vous avons mis en garde sur\u00a0notre blog<\/a> il y a encore quelques jours.<\/p>\n

Cet avertissement est probablement une r\u00e9action aux\u00a0incidents de f\u00e9vrier dernier, dans lequel les coordonn\u00e9es\u00a0des\u00a0clients de Talk Talk, vol\u00e9es lors du piratage\u00a0affectant l’un des partenaires de l’op\u00e9rateur,\u00a0ont \u00e9t\u00e9 utilis\u00e9es pour extorquer de l’argent par t\u00e9l\u00e9phone aux clients de TalkTalk.<\/p>\n

Malheureusement,\u00a0ce\u00a0ne sont pas les seules fois o\u00f9 TalkTalk a \u00e9t\u00e9 victime de\u00a0cybercriminalit\u00e9. En Ao\u00fbt dernier, Carphone Warehouse a subi une cyber-attaque sur son syst\u00e8me informatique conduisant \u00e0 un vol\u00a0de donn\u00e9es\u00a0affectant\u00a02,4 millions de clients de Dixon Carphone incluant, par ricochet\u00a0ceux qui avaient\u00a0souscrit un abonnement \u00e0 TalkTalk Mobile.<\/p>\n

Des cons\u00e9quences f\u00e2cheuses \u00e0 pr\u00e9voir pour l’op\u00e9rateur<\/h2>\n

L’affaire pourrait avoir des cons\u00e9quences beaucoup plus\u00a0f\u00e2cheuses pour l’op\u00e9rateur et pour ses clients. Le lendemain de la r\u00e9v\u00e9lation\u00a0de l’incident, le titre de TalkTalk perdait pr\u00e8s de\u00a010 % en bourse, les investisseurs anticipant logiquement une perte de confiance des clients envers un op\u00e9rateur qui, visiblement, n\u2019a pas correctement crypt\u00e9\u00a0et s\u00e9curis\u00e9 les donn\u00e9es bancaires de ses abonn\u00e9s, qui sont les informations les plus sensibles (\u00e0 cet \u00e9gard le piratage d\u2019Orange en 2014, qui avait fait 1 million de victimes, \u00e9tait beaucoup\u00a0moins grave).<\/p>\n

Par ailleurs, la l\u00e9gislation Britannique est, \u00e0 ce niveau, beaucoup plus contraignante que la l\u00e9gislation des pays francophones qui reste tr\u00e8s en retrait sur ce type de probl\u00e8mes. L’op\u00e9rateur britannique risque en effet, s’il se confirme que ses donn\u00e9es clients n’\u00e9taient pas correctement crypt\u00e9es, de devoir payer une amende importante (plus de 200.000 \u20ac) sur demande de l’ICO (Information Comissioner’s Office).<\/p>\n

La survie m\u00eame de l’op\u00e9rateur est menac\u00e9e car la d\u00e9gradation de son image risque fort de lui co\u00fbter la perte de bon nombre de ses clients, sans parler des co\u00fbts directs et indirects pour se remettre de l’attaque subie.<\/p>\n

A titre de comparaison, le co\u00fbt de la cyber-attaque subie par TV5 Monde en Avril dernier\u00a0s\u2019\u00e9value d\u2019ores et d\u00e9j\u00e0, selon son Directeur G\u00e9n\u00e9ral Yves Bigot, entre 4,3 et 5 millions d\u2019Euros pour l\u2019ann\u00e9e 2015 et environ 11 millions d\u2019Euros pour les trois prochaines ann\u00e9es, pour un piratage aux impacts bien plus limit\u00e9s. La\u00a0cyber-attaque du m\u00eame type que Talk Talk, visant le distributeur TARGET aux USA fin 2013 et ayant expos\u00e9 40 millions de clients, aurait d\u00e9j\u00e0 co\u00fbt\u00e9 \u00e0 l’Entreprise pr\u00e8s de 500 millions de dollars en pertes cons\u00e9cutives \u00e0 cet incident.<\/p>\n

Comment ne pas en arriver l\u00e0?<\/h2>\n

La cl\u00e9 pour ne pas en arriver \u00e0 ce type d’incident est de pr\u00e9voir, avant qu’une tentative de piratage n’ait lieu, plut\u00f4t que de r\u00e9agir \u00e0 post\u00e9riori. La pr\u00e9vention commence par la sensibilisation de tout le personnel \u00e0 la cyber-s\u00e9curit\u00e9 (voir notre article : 10 cl\u00e9s pour une sensibilisation r\u00e9ussie \u00e0 la s\u00e9curit\u00e9<\/a>).<\/p>\n

Il faut, bien entendu, \u00e9galement prendre les mesures techniques indispensables en vous appuyant sur vos \u00e9quipes informatiques. Mais la premi\u00e8re action consiste \u00e0 sensibiliser votre Conseil d’Administration<\/strong><\/em> et votre Comit\u00e9 de Direction<\/strong><\/em> sur leurs responsabilit\u00e9s et les risques encourus par l’Organisation car c’est \u00e0\u00a0leur niveau<\/strong><\/em> que se situent les responsabilit\u00e9s de prise\u00a0des d\u00e9cisions d’investissement sur la cyber-s\u00e9curit\u00e9 et la cyber-r\u00e9silience<\/strong><\/em>, et de\u00a0r\u00e9daction des politiques\u00a0de l’Entreprise<\/strong><\/em>, incluant bien entendu la politique de s\u00e9curit\u00e9.<\/p>\n

AB Consulting, seul Organisme de Formation Accr\u00e9dit\u00e9 en Afrique par ISACA<\/a>, APMG<\/a>, EXIN et AXELOS<\/a> \u00a0sur les domaines\u00a0de la Gouvernance, de la \u00a0s\u00e9curit\u00e9 et de la cyber-r\u00e9silience vous propose des sessions de sensibilisation tout sp\u00e9cialement adapt\u00e9es\u00a0\u00e0\u00a0des cibles sp\u00e9cifiques (dirigeants, personnels des m\u00e9tiers, informaticiens) et\u00a0anim\u00e9es par un expert du domaine. Toutes sessions peuvent \u00eatre organis\u00e9es sur mesure pour votre Entreprise et se d\u00e9rouler dans vos locaux ou de fa\u00e7on d\u00e9localis\u00e9e, y compris sous forme de week-end :<\/p>\n

Sensibilisation \u00e0 RESILIA<\/a>\u00a0(2 formats : 4 heures ou 1 journ\u00e9e)<\/p>\n

COBIT 5 pour le Board et les Ex\u00e9cutifs<\/a>\u00a0(2 formats : 4 heures ou 1 journ\u00e9e)<\/p>\n

Sensibilisation \u00e0 ISO 27001 \/ ISO 27002 pour les dirigeants<\/a>\u00a0(1 journ\u00e9e)<\/p>\n

Pour toute information compl\u00e9mentaire ou pour vous abonner \u00e0 notre newsletter, merci de compl\u00e9ter le formulaire de contact :<\/strong><\/em><\/p>\n

\n
\n