Fuite de données : amende « record » de 400 000 livres pour l’opérateur britannique TalkTalk

Le groupe télécom TalkTalk écope d'une amende de 400 000 livres par le gardien britannique des données personnelles. Une injection SQL a permis de récupérer les données de 156 000 clients, dont les coordonnées bancaires de certains. Une affaire qui aurait coûté 95 000 clients et 42 millions de livres à l'entreprise.

Le groupe télécom britannique TalkTalk se souviendra longtemps de sa dernière fuite de données. L'Information Commissioner's Office (ICO), l'équivalent britannique de la CNIL a annoncé avoir infligé une amende « record » de 400 000 livres sterling (environ 450 000 euros)  à l'entreprise.

Entre le 15 et le 21 octobre 2015, un attaquant a obtenu les données de plus de 156 000 clients, y compris leurs noms, coordonnées, dates de naissance, numéros de téléphones et adresses email. Dans plus de 15 000 cas, les coordonnées bancaires ont aussi été affectées. Une attaque grave dont l'ICO a voulu faire un exemple, tant le trou a été béant.

Une faille non-corrigée, trois attaques en quelques mois

Qu'est-ce que reprochent précisément les autorités à TalkTalk ? « Des échecs dans la sécurité qui ont permis à un attaquant d'accéder « avec facilité » aux données des clients » explique le bureau. Dans son communiqué, la commissaire Elizabeth Denham pointe, elle, « l'absence des mesures de cybersécurité les plus élémentaires », rien de moins.

Une faille du logiciel de base de données utilisé, corrigé par l'éditeur mais que n'a pas comblé l'opérateur, a servi de porte d'entrée pour l'attaquant. Cette base, issue du rachat de Tiscali UK, en 2009, semble avoir été un cas d'école. Selon le gendarme des données personnelles, une simple injection SQL a permis d'obtenir toutes ces informations personnelles. « L'injection SQL est bien connue, des défenses existent et TalkTalk aurait dû savoir que cela posait un risque pour ses données » appuie l'ICO.

Cela d'autant plus que ce n'est pas la première attaque de ce type sur cette base de données. Elle en a déjà subi une première « réussie » en juillet et une autre en septembre. Ce que sous-entend l'autorité est que personne ne s'est soucié du problème, y compris à la tête du groupe. « L'amende record d'ajourd'hui est un avertissement pour les autres que la cybersécurité n'est pas une question informatique, mais de décision stratégique » conclut la commissaire.

Un coût estimé à 42 millions de livres pour TalkTalk

Dans un communiqué en réponse, l'opérateur trouve officiellement la décision de l'ICO « clairement décevante ». Elle déclare avoir été transparent avec ses clients sur le problème, alors que « des données gouvernementales montrent que neuf sociétés britanniques sur dix ont été attaquées avec succès ». En clair, TalkTalk ne serait pas le pire cas, selon ses propres dires, même en laissant une base de données client ouverte aux quatre vents après deux tentatives de vol de données, dont une réussie.

Le groupe indique avoir découvert l'attaque en enquêtant sur des lenteurs de son site le 21 octobre 2015, avant de recevoir une demande de rançon « crédible » et de prévenir les autorités, puis ses clients, le lendemain. Un suivi dans les règles, qui n'efface pas moins la gravité du problème. Cette fuite de données lui aurait d'ailleurs beaucoup coûté.

Pour l'année fiscale se terminant le 31 mars dernier, le groupe affirme avoir perdu 42 millions de livres (environ 47 millions d'euros) dans l'affaire, en incluant les coûts de réponse à l'incident, la gestion des demandes de clients, « y compris les coûts supplémentaires de centres d'appel », ainsi que les coûts marketing dans les semaines qui ont suivi. L'entreprise a aussi consenti à des améliorations gratuites des forfaits, listées sous la bannière « coûts de rétention client ». En tout, 95 000 clients auraient tout de même quitté le navire, après une première évaluation à 250 000.

L'amende de l'ICO vient donc s'ajouter à ces pertes. Le nouveau règlement européen sur les données personnelles, adopté en avril par le Parlement, oblige d'ailleurs les sociétés à prévenir rapidement les autorités dans pareil cas. Une initiative qu'a bien pris TalkTalk, même si elle s'est révélée largement insuffisante pour les informations de ses clients et sa santé financière.