Les relevés téléphoniques de dizaines de millions de clients d’AT&T volés lors d’un piratage

Les relevés téléphoniques de la quasi-totalité des 90 millions de clients de l’opérateur américain AT&T ont été piratés pendant six mois en 2022, a confirmé l’entreprise vendredi 12 juillet. Il s’agirait de l’un des plus gros vols de données de l’année.

De quelles données s’agit-il ? Selon l’opérateur, il s’agirait principalement de listes d’enregistrements téléphoniques, c’est-à-dire des numéros avec lesquels chaque client a interagi durant la période concernée, en envoyant ou en recevant des SMS ou des appels. AT&T assure que le contenu de ces appels et SMS n’est pas concerné par cette nouvelle fuite et que les numéros ne seraient pas liés à d’autres informations permettant d’identifier le client (son nom, par exemple).

Comme le souligne le communiqué, il existe toutefois plusieurs façons d’identifier le propriétaire d’un numéro. De plus, dans certains cas, les enregistrements volés contenaient des éléments pouvant révéler la géolocalisation d’un appel ou d’un message texte.

Cette nouvelle intervient après qu’AT&T a subi une cyberattaque majeure en mars, lorsque les données personnelles de plus de 70 millions de clients actuels et anciens ont été divulguées sur le dark web.

Service Snowflake ciblé

Des sources proches du dossier ont confirmé à l’AFP et au site spécialisé 404Media que les données avaient été volées via Snowflake, un service tiers dont AT&T est client. Cette plateforme d’hébergement de données en ligne a été ciblée à plusieurs reprises au printemps par un groupe de cybercriminels cherchant à pirater les espaces de stockage de ses clients – plus de 165 organisations ont été ciblées, selon un récent rapport de la société de cybersécurité Mandiant. Plusieurs piratages majeurs identifiés ces derniers mois, comme celui visant Ticketmaster, pourraient être liés à des sessions compromises de clients de Snowflake.

« À l’heure actuelle, nous ne croyons pas que (les données volées) sont accessibles au public »souligne AT&T, qui collabore avec les forces de l’ordre. Et pour cause : selon le magazine spécialisé CâbléAT&T aurait négocié avec les pirates en mai et payé une somme d’environ 370 000 dollars (339 071 euros) afin d’obtenir la suppression des données volées.

Bien que Mandiant ne nomme pas spécifiquement le groupe soupçonné d’être à l’origine de cette campagne de piratage massive ciblant les clients de Snowflake dans son rapport, l’attaque serait – selon Câblé – l’œuvre du collectif ShinyHunters, ou d’acteurs liés à cette nébuleuse. Le nom n’est pas inconnu des chercheurs et autorités en sécurité informatique, puisqu’il a été identifié ou suspecté dans un grand nombre de piratages ces dernières années, et avait récemment pris le contrôle de BreachForums, l’un des principaux forums de vente de données volées.

Dans son communiqué, AT&T précise qu’à sa connaissance, au moins une personne soupçonnée d’être liée au piratage a été arrêtée à ce jour. Selon 404Media, cette personne pourrait être John Binns, un Américain déjà suspecté dans un précédent vol de données visant l’opérateur téléphonique, et récemment arrêté en Turquie.