Les relevés téléphoniques de la quasi-totalité des 90 millions de clients de l’opérateur américain AT&T ont été piratés pendant six mois, en 2022, a confirmé l’entreprise, vendredi 12 juillet. Il s’agirait d’un des plus gros vols de données de l’année.
En quoi consistent ces données ? Selon l’opérateur, il s’agit principalement de listes de relevés téléphoniques, c’est-à-dire des numéros avec lesquels chaque client a interagi pendant la période concernée, en envoyant ou recevant des SMS ou des appels. AT&T assure que le contenu de ces appels et de ces SMS n’est pas concerné par cette nouvelle fuite et que les numéros ne seraient pas adossés à d’autres informations permettant d’identifier le client (son nom, par exemple).
Comme le souligne le communiqué, il existe toutefois de multiples façons d’identifier le propriétaire d’un numéro. Par ailleurs, dans certains cas, les relevés volés contenaient des éléments pouvant révéler la géolocalisation d’un appel ou d’un SMS.
La nouvelle a été rendue publique alors qu’AT & T avait déjà subi une cyberattaque importante en mars, quand les données personnelles de plus de 70 millions de clients actuels et anciens avaient été divulguées sur le dark Web.
Le service Snowflake visé
Des sources proches du dossier ont confirmé aussi bien à l’Agence France-Presse qu’au site spécialisé 404Media que les données avaient été volées en passant par Snowflake, un service tiers dont l’entreprise AT&T est cliente. Cette plate-forme d’hébergement de données en ligne a été ciblée de façon répétée au printemps par un groupe de cybercriminels qui cherchaient à pirater les espaces de stockage de ses clients – plus de 165 organisations ont ainsi été ciblées, selon un récent rapport de l’entreprise de cybersécurité Mandiant. Plusieurs piratages d’ampleur identifiés ces derniers mois, comme celui ayant visé Ticketmaster, pourraient être reliés à des sessions compromises de clients de Snowflake.
« A l’heure actuelle, nous ne pensons pas que [les données volées] soient accessibles au public », souligne AT&T, qui collabore avec les forces de l’ordre. Et pour cause : selon le magazine spécialisé Wired, AT&T aurait négocié au mois de mai avec les pirates et versé une somme d’environ 370 000 dollars (339 071 euros) afin d’obtenir la suppression des données volées.
Si Mandiant ne nomme pas précisément, dans son rapport, le groupe soupçonné d’être derrière cette vaste campagne de piratages visant les clients de Snowflake, l’attaque serait – selon Wired – le fait du collectif ShinyHunters, ou d’acteurs reliés à cette nébuleuse. Le nom n’est pas inconnu des chercheurs en sécurité informatique et des autorités, puisqu’il a été identifié ou suspecté, ces dernières années, dans un grand nombre de piratages, et avait récemment pris la main sur BreachForums, un des principaux forums de vente de données volées.
Dans son communiqué, AT&T affirme qu’à sa connaissance au moins une personne soupçonnée d’être reliée au piratage a été arrêtée à ce jour. Selon 404Media, il pourrait s’agir de John Binns, un Américain déjà soupçonné dans un précédent vol de données ayant visé l’opérateur téléphonique, et récemment interpellé en Turquie.