Des garanties de confidentialité inadéquates et le stockage d’informations sensibles sur les clients ont fait de l’Australie une cible lucrative aux yeux des pirates étrangers.
Des garanties de confidentialité inadéquates et le stockage d’informations sensibles sur les clients ont fait de l’Australie une cible lucrative aux yeux des pirates étrangers, ont déclaré à l’AFP des experts en cybersécurité à la suite d’une série de violations majeures de données.
Medibank, le plus grand assureur santé privé d’Australie, a récemment confirmé que des pirates avaient accédé aux données de 9,7 millions de clients actuels et anciens, y compris des dossiers médicaux liés à la toxicomanie et aux interruptions de grossesse.
La société de télécommunications Optus a été la proie d’une violation de données d’une ampleur similaire fin septembre, au cours de laquelle les données personnelles de jusqu’à 9,8 millions de personnes ont été consultées.
Les deux incidents se situent confortablement parmi les plus grandes violations de données de l’histoire australienne.
Thomas Haines, expert en cybersécurité de l’Université nationale australienne, a déclaré que de nombreuses entreprises avaient accumulé des données personnelles auxquelles elles n’auraient pas dû s’accrocher.
« Il y a eu une phrase célèbre pendant un moment : les données sont le nouveau pétrole », a-t-il déclaré à l’AFP.
« Si les données sont le nouveau pétrole, alors nous vivons l’ère de la marée noire hebdomadaire. »
Haines a opposé l’approche de l’Australie à celle de l’Union européenne, qui a adopté en 2018 des réformes radicales de la confidentialité limitant la manière dont les organisations collectent, utilisent et stockent les données personnelles.
« Il doit y avoir des incitations en place pour empêcher les entreprises de thésauriser les données dont elles n’ont pas besoin, ou pour pénaliser ces entreprises en cas de fuites importantes. L’Europe l’a fait », a-t-il déclaré.
« Pour le moment, les incitations commerciales sont essentiellement du type : gardons simplement tout un tas de données. »
Haines a déclaré que Medibank semblait être une exception, dans la mesure où la plupart des informations sensibles de ses bases de données avaient été stockées pour une bonne raison.
– Piratage « à but lucratif » –
Les garanties relativement faibles de l’Australie contre le vol d’identité signifient qu’il est également plus facile d’exploiter les informations personnelles volées, a déclaré Haines.
« Tout ce qu’ils ont besoin de savoir, c’est votre passeport, votre permis de conduire et quelques autres choses – et ensuite je pourrai commencer à contracter des prêts en votre nom. »
Haines a déclaré que les pays européens tels que la Norvège avaient des exigences beaucoup plus strictes concernant les contacts en face à face.
Dennis Desmond, ancien agent du FBI et officier de la US Defense Intelligence Agency, a déclaré que la plupart des pirates recherchaient des types de données particuliers.
« Les pirates à but lucratif s’attaquent aux données de santé, ils s’attaquent aux données d’identité et aux informations d’identification pour accéder aux systèmes », a-t-il déclaré à l’AFP.
« Il y a une motivation de profit là-bas, sinon ils ne risqueraient pas la prison et des poursuites. »
Les pirates de Medibank ont commencé cette semaine à divulguer des données volées sur un forum Web sombre, après que la société a refusé de payer une rançon de 9,7 millions de dollars (15 millions de dollars australiens).
La violation d’Optus a entraîné le vol des noms, dates de naissance et numéros de passeport des clients.
– La Russie mise en cause –
Vendredi, le commissaire de la police fédérale australienne, Reece Kershaw, a imputé la cyberattaque de Medibank à une équipe de pirates informatiques basée en Russie.
« Nous pensons que les responsables de la violation sont en Russie », a-t-il déclaré aux journalistes.
« Nos renseignements pointent vers un groupe de cybercriminels vaguement affiliés qui sont probablement responsables d’importantes violations passées dans des pays du monde entier. »
Jusqu’à présent, les données de Medibank divulguées sur le dark web comprenaient des centaines de dossiers médicaux potentiellement compromettants liés à la toxicomanie, à l’abus d’alcool et aux infections sexuellement transmissibles.
La ministre de l’Intérieur, Clare O’Neil, a reconnu vendredi que les cyberdéfense du pays n’avaient pas toujours été à la hauteur.
La chercheuse en données de l’Université de Sydney, Jane Andrew, a déclaré que l’un des principaux défauts était que les entreprises australiennes n’étaient pas toujours obligées de signaler les violations de données.
« Il y a des tas de violations de données qui se produisent tout le temps dont nous n’entendons rien », a-t-elle déclaré à l’AFP.
« Les entreprises ont collecté des données parce qu’elles sont considérées comme précieuses, sans comprendre pleinement les risques potentiels. »
