Dans un scénario digne d’un film d’espionnage, le ministère américain de la Justice (DOJ) a révélé un piratage massif visant le géant des télécommunications AT&T. Selon l’acte d’accusation, deux hackers, Connor Moucka et John Binns, sont accusés d’avoir infiltré les systèmes d’AT&T hébergés sur la plateforme cloud Snowflake, dérobant pas moins de 50 milliards d’enregistrements de données clients.
L’ampleur du vol de données
AT&T avait précédemment révélé en juillet qu’une brèche avait affecté « presque tous » ses abonnés mobiles et fixes, compromettant les métadonnées des appels et SMS telles que les numéros contactés, mais pas le contenu des messages. La compagnie prévoyait alors de notifier environ 110 millions de clients. Mais l’acte d’accusation lève le voile sur l’étendue réelle du vol : 50 milliards d’enregistrements clients subtilisés des serveurs d’AT&T hébergés chez Snowflake.
Un an de piratages et d’extorsion
Selon les procureurs, Moucka et Binns, connus sous divers pseudonymes en ligne, ont accédé à des « milliards de dossiers clients sensibles » sur une période d’environ un an, de novembre 2023 à octobre 2024. Au cours de cette période, ils auraient extorqué au moins trois victimes pour un total d’environ 36 bitcoins (2,5 millions de dollars au moment des faits).
AT&T parmi plusieurs victimes Snowflake
AT&T n’est malheureusement pas un cas isolé. Ces derniers mois, les pirates ont également pénétré les instances Snowflake de Santander Bank, Ticketmaster et environ 165 autres clients entreprises. Des données personnelles et commerciales sensibles comme des numéros de sécurité sociale, permis de conduire, passeports et informations bancaires ont été dérobées, faisant de ces attaques liées à Snowflake certaines des pires cyberattaques de l’année.
Menaces de fuites et demandes de rançon
Dans certains cas, les hackers ont également exigé une rançon en menaçant de divulguer les informations volées, menaces qu’ils ont parfois mises à exécution. Wired rapporte qu’AT&T aurait versé 370 000 $ à un hacker pour tenter de supprimer les données. Les procureurs confirment qu’une « Victime-2 », vraisemblablement AT&T au vu des recoupements, a payé une rançon.
L’enquête se poursuit
Moucka a été arrêté au Canada la semaine dernière, tandis que Binns avait précédemment été interpellé en Turquie selon 404 Media. L’enquête et les poursuites sont toujours en cours pour faire toute la lumière sur ce piratage d’envergure et en tirer les leçons en matière de cybersécurité.
Cette affaire met en lumière les risques croissants liés à l’externalisation des données dans le cloud, même chez de grands fournisseurs. Elle soulève des questions sur les mesures de sécurité à renforcer de toute urgence pour prévenir et détecter de telles intrusions, ainsi que sur la gestion des incidents et la communication aux clients en cas de brèche.
Dans un contexte où les données sont le nouveau pétrole, leur protection devient un enjeu business et de confiance crucial pour toutes les entreprises. Les négligences en la matière peuvent se payer très cher, en termes financiers comme de réputation.
