Royaume-Uni : l’opérateur Three Mobile piraté, les données de 133 000 clients obtenues

Un an après TalkTalk, c'est au tour de Three Mobile de voir les données de plus de 100 000 clients fuiter. Cette fois, il s'agirait d'une tentative de fraude au renouvellement de terminaux, en passant par les identifiants d'un employé. Trois personnes ont été arrêtées, et la CNIL britannique aura sûrement son mot à dire.

Les piratages de bases clients deviennent une donne de plus en plus habituelle pour les entreprises. Au Royaume-Uni, l'opérateur Three Mobile a annoncé l'accès non-autorisé à la base servant au changement de téléphones. Dans un communiqué, son PDG David Dyson affirme que les identifiants d'un employé ont été utilisés pour l'opération.

Le 17 novembre, l'entreprise a détecté « une activité suspecte » et commencé à enquêter. Des « couches de sécurité » ont été ajoutées dès qu'il a été clair que des données ont été compromises. Huit clients ont subi un changement d'appareil par des fraudeurs « dont le but était d'intercepter et de revendre les terminaux ». Selon des sources anonymes, citées par le Telegraph, les données des deux tiers des clients de Three UK étaient potentiellement concernées, soit celles de six millions de mobinautes. 

Les données de 133 000 clients ont fuité

En fait, Three Mobile affirme que certaines informations de 133 827 personnes ont été obtenues, dont leurs coordonnées et des données de facturation. L'opérateur précise tout de même qu'aucune donnée bancaire, ni code PIN, ni mot de passe n'étaient contenus dans cette base.

David Dyson dit comprendre l'inquiétude de ses clients. Chacun des abonnés concernés sera contacté individuellement, promet-il. Pour 26 000 d'entre eux, des données supplémentaires ont été récupérées. De nouvelles mesures de sécurité, non-précisées, ont été mises en place sur l'ensemble des comptes clients. « Nous pensons que le but principal n'était pas de voler des informations clients, mais qu'il s'agissait d'une activité criminelle visant à acquérir frauduleusement de nouveaux terminaux » ajoute-t-il.

Les autorités sont aussi sur la brèche. Trois personnes ont été arrêtées par la National Crime Agency britannique, puis libérés sous caution. L'enquête est toujours en cours.

Une sanction financière en vue ?

Tout ne serait pas pour autant fini pour Three Mobile. L'opérateur pourrait subir des conséquences financières directes, au-delà des éventuelles pertes de clients après une telle bévue. C'est ce qui est arrivé à l'opérateur TalkTalk, dont les données de 156 000 clients avaient été récupérées par des pirates. En plus d'un préjudice commercial estimé à 42 millions de livres, il a subi une amende record de 400 000 livres de la part de la CNIL britannique, l'ICO.

Le poids de la sanction venait notamment du peu de sécurité qu'avait prévu TalkTalk pour cette base clients. Au vu de la rapidité qu'a mis Three à annoncer un renforcement de la protection des données, deux jours à peine, l'entreprise pourrait aussi recevoir une visite du gardien des données personnelles.

La nouvelle intervient aussi au moment où le Royaume-Uni se dote d'une loi sécuritaire très dure, obligeant notamment les opérateurs à conserver l'historique de navigation web de leurs clients pendant un an... Pour les tenir à disposition des forces de l'ordre et des services de renseignement. Ces données doivent être particulièrement protégées, et sont un poids de plus pour des entreprises qui semblent déjà avoir du mal à sécuriser correctement des bases de données aussi fondamentales que celles contenant les informations de leurs clients.