Les pouvoirs publics australiens appellent à un renforcement des lois sur la protection de la vie privée à la suite du piratage informatique qui a compromis les données personnelles de 9,8 millions de clients d’Optus.
Décrivant la cyberattaque comme « ne présentant pas de difficulté technologique », le gouvernement affirme que cette fuite de données n’aurait jamais dû se produire et que l’opérateur de télécoms devrait payer pour rectifier la situation.
Lorsque les clients confient leurs données personnelles à des entreprises, ils s’attendent à ce que ces informations soient protégées, a ainsi déclaré mercredi le Premier ministre australien Anthony Albanese au Parlement. Qualifiant la fuite des données d’Optus de « très préoccupante », il a estimé que l’incident devait servir de signal d’alarme pour les entreprises australiennes.
Une fuite de données signalée la semaine dernière
La semaine dernière, l’opérateur de téléphonie mobile a signalé un piratage informatique ayant compromis diverses données de sa clientèle, notamment des dates de naissance, des adresses électroniques et des numéros de passeport.
La PDG d’Optus, Kelly Bayer Rosmarin, a ensuite affirmé que l’intrusion informatique était le résultat d’une attaque « sophistiquée » qui a cheminé à travers plusieurs couches de sécurité.
L’opérateur de télécoms, une filiale à 100 % du groupe de télécommunications singapourien Singtel, n’a cependant pas fourni de détails supplémentaires sur la manière dont le piratage s’est produit ni sur les systèmes piratés. Au contraire, une API en ligne ne nécessitant apparemment pas d’authentification ou d’autorisation pour accéder aux données des clients a été identifiée.
Enquête criminelle
Le Premier ministre australien a indiqué que son gouvernement travaillait avec Optus pour obtenir les informations nécessaires « pour mener une enquête criminelle » dirigée par la police fédérale australienne, en coopération avec le FBI.
« Nous savons que cette intrusion n’aurait jamais dû se produire », souligne le Premier ministre. « Il est clair que nous avons besoin de meilleures lois, après une décennie d’inaction, pour gérer l’immense quantité de données collectées par les entreprises sur les Australiens, et un cadre clair lorsqu’elles ne les gèrent pas bien. »
Il a rejeté les appels du parti d’opposition demandant au gouvernement de payer pour le remplacement des passeports, arguant plutôt qu’Optus devrait être forcé à couvrir ce coût. Les contribuables ne devraient pas avoir à payer pour un problème qui est le résultat des propres échecs d’Optus en matière de cybersécurité et de protection de la vie privée, a-t-il assuré, ajoutant que le ministre des Affaires étrangères avait demandé à Optus de mettre la main à la poche.
« Cinq ans de retard »
Le Premier ministre australien a ajouté que le gouvernement cherchait à renforcer les lois dans le cadre de l’examen en cours d’un texte de loi sur la protection de la vie privée. Selon la ministre de l’Intérieur, qui est également ministre de la cybersécurité, Clare O’Neil, le pays a environ cinq ans de retard sur ce qu’il devrait être en matière de cybersécurité. « Ce n’est tout simplement pas suffisant », note-t-elle.
« Ce qui s’est passé chez Optus n’était pas une attaque sophistiquée. Nous ne devrions pas avoir dans notre pays un fournisseur de télécommunications qui laisse la porte ouverte à un tel vol de données », assure-t-elle.
Décrivant le piratage comme inacceptable, elle ajoute que l’incident est à mettre au débit d’Optus. « Ils sont en faute », estime la ministre. « Le piratage qui a été commis n’était pas particulièrement complexe sur le plan technologique. »
Amende potentielle de 1,5 million d’euros
La ministre précise qu’un incident d’une telle ampleur impliquant une entreprise comme Optus aurait entraîné des sanctions financières importantes dans d’autres pays. Au lieu de cela, en Australie, l’amende maximale s’élève à seulement 2,2 millions de dollars australiens (environ 1,5 million d’euros). Ce qui, selon elle, est « totalement inapproprié ».
A noter également, la ministre a fait remarquer que les normes minimales de cybersécurité qui avait été fixées pour les entreprises de plusieurs secteurs n’avaient pas pu l’être pour les opérateurs de télécommunications. Ces derniers ont en effet obtenu une exception au cadre légal, car les normes de l’industrie étaient jugées suffisamment élevées et qu’ils étaient déjà encadrés par d’autres lois.
Ce n’est manifestement pas le cas, comme l’a démontré le récent piratage, insiste la ministre. Et de souligner la nécessité de renforcer les lois sur la protection de la vie privée. « Nous devons faire mieux pour protéger les Australiens », conclut la ministre.
Source : ZDNet.com