L'attaque a eu lieu en avril, ce qui fait suite à la violation de mars qui a exposé 73 millions de dossiers
En un mot: Des pirates informatiques ont volé les relevés téléphoniques de plus de 100 millions de clients d'AT&T en 2022. Les informations recueillies sur une période de six mois contenaient des métadonnées, notamment les numéros de téléphone, le nombre d'appels et de SMS, la durée des appels et, dans certains cas, les numéros d'identification des tours. Cependant, le contenu des SMS et des appels n'a pas été consulté.
Vendredi, AT&T a révélé une violation massive de données qui a exposé les enregistrements téléphoniques de la quasi-totalité de ses 110 millions de clients. TechCrunch note que bien que la société ait découvert l'intrusion le 19 avril, les enregistrements consultés dataient du 1er mai 2022 et du 31 octobre 2022. Des données supplémentaires du 2 janvier 2023 ont également été compromises. Le cache de données contenait des numéros de téléphone et des enregistrements d'appels et de messages texte d'utilisateurs de téléphones portables et fixes.
L'opérateur mobile a déclaré que la faille n'incluait pas le contenu des appels ou des SMS, mais révélait des métadonnées, notamment qui a contacté qui, le nombre total d'appels et de SMS et la durée des appels. Certains enregistrements contenaient également des numéros d'identification de sites cellulaires, que des acteurs malveillants pourraient potentiellement utiliser pour estimer la localisation des appels et des SMS.
La faille a également touché les clients d'autres opérateurs utilisant le réseau d'AT&T, ce qui a considérablement élargi son impact. L'entreprise a déclaré qu'elle informerait ses clients touchés par la faille, mais n'a pas mentionné de mesures concernant les autres fournisseurs concernés.
Nous menons une enquête en cours sur la violation des données d'AT&T et nous travaillons en collaboration avec nos partenaires chargés de l'application de la loi.
– La FCC (@FCC) 12 juillet 2024
Il est intéressant de noter que cette intrusion est liée à la récente violation de données de Snowflake. Snowflake est un fournisseur de données cloud dont les clients, parmi lesquels AT&T, Ticketmaster et QuoteWizard, ont subi un accès non autorisé aux données stockées sur les serveurs cloud de l'entreprise. Les chercheurs ont déterminé que la cause principale était l'absence d'authentification multifacteur (MFA) appliquée sur les comptes Snowflake, les rendant vulnérables aux attaques.
L'entreprise de cybersécurité Mandiant, qui assiste Snowflake, a indiqué que des pirates informatiques avaient volé un volume important de données à environ 165 clients. Ils ont attribué la violation à un groupe de cybercriminels connu sous le nom d'UNC5537, dont les membres sont originaires d'Amérique du Nord et de Turquie.
En réponse à cette brèche, AT&T a travaillé en étroite collaboration avec les forces de l’ordre pour retrouver les cybercriminels impliqués. L’entreprise a confirmé qu’au moins une personne avait été appréhendée, précisant qu’il ne s’agissait pas d’un employé d’AT&T. Comme mentionné, l’attaque a eu lieu en avril, mais le FBI et le ministère de la Justice ont demandé à AT&T de retarder à deux reprises la notification publique en raison de risques potentiels pour la sécurité nationale et la sécurité publique. La FCC a tweeté qu’elle était également impliquée et qu’elle menait une enquête.
Cette faille de sécurité est le deuxième incident majeur de l'année pour AT&T. Auparavant, l'entreprise avait dû réinitialiser les codes d'accès de ses comptes après l'apparition de données clients cryptées sur un forum de cybercriminalité. La facilité avec laquelle les acteurs malveillants ont pu décrypter ces codes d'accès a incité l'opérateur à prendre des mesures de protection rapides, mais seulement après avoir nié la faille pendant deux semaines.
Les personnes concernées peuvent trouver plus d'informations sur l'incident sur le site Internet dédié d'AT&T. L'entreprise affirme qu'elle continue de travailler avec diligence pour empêcher de nouvelles actions non autorisées.
Crédit photo : Mike Mozart