Vendredi, AT&T a déclaré que des cybercriminels avaient volé les relevés téléphoniques de « presque tous » ses clients, une violation de données qui obligera l’entreprise à informer environ 110 millions de personnes.
AT&T a déclaré que les données volées comprenaient des enregistrements tels que les numéros de téléphone qu’un certain client a appelés et textés, le nombre total d’appels et de SMS et la durée des appels pour une période de six mois entre le 1er mai 2022 et le 31 octobre 2022. AT&T a déclaré que les données volées n’incluaient pas le contenu des appels ou des SMS, ni leur heure ou leur date.
Pour certains des clients touchés, les cybercriminels ont également été en mesure de voler des numéros d’identification de sites cellulaires liés à des appels téléphoniques et des SMS, selon AT&T. Cela signifie que – potentiellement – quelqu’un pourrait utiliser ces informations pour déterminer l’emplacement approximatif d’un client lorsqu’il a passé un certain appel ou envoyé un SMS, et peut-être déduire des informations sensibles sur sa vie.
« Cela peut révéler où quelqu’un vit, travaille, passe son temps libre, avec qui il communique en secret, y compris les affaires, toute communication basée sur le crime ou les conversations privées/sensibles typiques qui nécessitent le secret », a déclaré Rachel Tobac, experte en ingénierie sociale et fondatrice de la société de cybersécurité SocialProof Security. « C’est un gros problème pour toute personne touchée. »
AT&T a attribué l’incident à une récente violation chez le fournisseur de services cloud Snowflake, qui a affecté des dizaines d’entreprises, dont Ticketmaster, Santander Bank et QuoteWizard, filiale de LendingTree. À ce stade, on ne sait pas exactement qui était derrière la brèche de Snowflake. Mandiant, la société de cybersécurité engagée par Snowflake pour enquêter, a déclaré qu’un groupe cybercriminel motivé par l’argent qu’ils identifient comme UNC5537 était responsable.
Le type de données volées lors de la violation de données d’AT&T est généralement appelé métadonnées, car il n’inclut pas le contenu des appels ou des SMS, mais uniquement des informations environ ces appels et ces SMS. Cela ne signifie pas pour autant qu’il n’y a pas de risques pour les victimes de cette violation.
Selon M. Tobac, ce type de données permet aux cybercriminels de se faire passer plus facilement pour des personnes en qui vous avez confiance, ce qui leur permet de créer plus facilement des attaques d’ingénierie sociale ou de phishing plus crédibles contre les clients d’AT&T.
Contactez-nous
Avez-vous plus d’informations sur cet incident AT&T ? Ou à propos de la brèche de Snowflake ? À partir d’un appareil non fonctionnel, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute Sécurité sur Signal au +1 917 257 1382, ou via Telegram, Keybase et Wire @lorenzofb, ou par e-mail. Vous pouvez également contacter fr.techtribune.netvia SecureDrop.
« Les attaquants savent exactement de qui vous êtes susceptible de répondre un appel, à qui vous êtes susceptible de répondre par SMS, combien de temps vous communiquez avec cette personne et même potentiellement où vous vous trouviez pendant cette conversation en raison des métadonnées qui ont été volées », a déclaré Tobac.
Runa Sandvik, fondatrice de Granitt, une entreprise qui aide les journalistes et les activistes à être plus en sécurité, a déclaré que « même si vous ne faites rien d’important ou de « sensible », à qui vous parlez ; quand; et combien de fois cela vous est toujours personnel et devrait rester privé pour vous aussi.
« Je pense que tout le monde devrait être très en colère à ce sujet et exiger mieux de la part des opérateurs de télécommunications, il ne suffit pas de dire ‘oh, au vu de la façon dont vos données ont été prises, nous sommes désolés et prenons cela très au sérieux’ », a déclaré Sandvik à TechCrunch.
Sandvik a déclaré que c’était plus préoccupant pour les personnes à haut risque touchées par la violation. « Certains peuvent envisager de changer de numéro et d’utiliser un autre fournisseur, mais cela dépend vraiment des circonstances. » Les personnes à haut risque peuvent également inclure celles qui ont une raison de cacher leur identité, comme les survivants de violence domestique.
Sandvik a également déclaré que l’utilisation d’applications de chat cryptées – comme Signal, qui ne détient pas le type de métadonnées qu’AT&T vient de perdre ; et WhatsApp – pourraient être meilleurs pour la sécurité car ces entreprises ont de meilleurs antécédents en matière de protection des données des utilisateurs.
Jake Williams, expert en cybersécurité et ancien pirate informatique de la NSA, a déclaré à fr.techtribune.netque le risque est plus grand pour les entreprises et les cibles du renseignement suite à la violation d’AT&T.
« Les acteurs de la menace peuvent utiliser ces données pour créer des modes de vie », a déclaré M. Williams. « Les enregistrements de données d’appels sont d’une grande valeur pour les analystes du renseignement. »
Williams a également déclaré qu’il est possible que les pirates informatiques puissent combiner ces données avec celles des violations de données, car « les incidents précédents d’AT&T ont associé les numéros de téléphone des clients à d’autres informations d’identification, simplifiant ainsi l’utilisation des données nouvellement compromises ».
Les métadonnées d’appel et de texte sont traditionnellement des informations qui peuvent être précieuses pour les agences de renseignement. Certains des documents divulgués par formulaireEdward Snowden, sous-traitant de la NSA, a révélé il y a plus de dix ans que la National Security Agency des États-Unis obtenait des métadonnées de clients auprès de Verizon en vrac sur une « base continue et quotidienne ».
Le gouvernement américain a longtemps défendu cette pratique comme un outil essentiel pour lutter contre le terrorisme, et au cours de la dernière décennie, les administrations successives ont été réticentes à renoncer à cette capacité. Un ancien officier du renseignement, qui a demandé à rester anonyme parce qu’il n’était pas autorisé à parler à la presse, a déclaré à fr.techtribune.netqu’il y avait « une raison pour laquelle les opérateurs télécoms sont si souvent ciblés par les services étrangers », citant les efforts déployés pour identifier les sources et les actifs potentiels du renseignement.
« En bref, ces données sont une mine d’or pour comprendre qui parle à qui, ce qui peut par exemple être utilisé pour développer des sources humaines », a déclaré Williams.