Cybersécurité : AT&T paie 13 millions de dollars pour clore l’enquête sur une fuite de données

Le fournisseur de services téléphoniques américain AT&T a accepté de payer 13 millions de dollars (11,6 millions d’euros) pour résoudre une enquête portant sur une violation de données dans les systèmes d’un fournisseur de cloud, a déclaré le 17 septembre la FCC américaine. Cette fuite de données, qui n’est pas la dernière en date, avait impacté 8,9 millions de clients. Ceux qui avaient recours aux services d’AT&T entre 2015 et 2017 avaient été particulièrement ciblés, alors que leurs données auraient dû par la suite être supprimées des systèmes de l’entreprise.

Les données subtilisées comprenaient notamment le nombre de lignes sur un compte, mais aussi des données personnelles plus sensibles, comme le solde de la facture et d’autres informations tarifaires. AT&T et la FCC avaient toutefois déclaré que les données relatives aux cartes de crédit, aux numéros de Sécurité sociale et aux mots de passe n’étaient pas concernées. Le régulateur américain des télécoms ne statuera donc pas sur l’état de la protection des données des clients d’AT&T mais lui impose de changer ses pratiques de gouvernance des données. L’opérateur télécoms devra ainsi “accroître l'intégrité de sa supply chain et garantir que des processus appropriés sont intégrés dans les pratiques commerciales d'AT&T dans le traitement des données sensibles”, explique la FCC dans son communiqué.

AT&T n’est toutefois pas sortie d’affaire. Après cette fuite de données, la firme américaine a été victime d’autres cyberattaques, dont l’une en mars impactant 73 millions de clients. Mais la FCC garde un œil sur une fuite de données ultérieure, survenue en avril et révélée par l’opérateur en juillet. Des cybercriminels avaient alors dérobé les données sur les appels et messages de la quasi-totalité de ses clients pendant six mois en 2022. Ces informations avaient été téléchargées depuis son espace de travail sur une plateforme tierce, en l’occurrence Snowflake.