AT&T a révélé ce vendredi que les journaux des appels et des messages textes de la mi à la fin de l'année 2022 de dizaines de millions de clients mobiles AT&T et de nombreux clients hors AT&T ont été exposés dans une brèche massive de données.

AT&T a déclaré que les données compromises incluent les numéros de téléphone de « presque tous » ses clients cellulaires ainsi que des clients de fournisseurs de services sans fil utilisant son réseau entre le 1er mai 2022 et le 31 octobre 2022.

Les registres volés contiennent également un historique de chaque numéro des clients AT&T contactés ou auxquels un message a été envoyé – y compris les clients d'autres réseaux sans fil – ainsi que le nombre de fois qu'ils ont interagi et la durée de l'appel.

Plus important encore, AT&T a indiqué que les données volées ne comprenaient pas le contenu des appels et des messages textes ni l’heure de ces communications.

AT&T a ajouté que les journaux d’un « très petit nombre » de clients à partir du 2 janvier 2023 sont également concernés.

La Federal Communications Commission (FCC) a déclaré sur la plateforme sociale X : « Nous menons une enquête en cours sur la violation d’AT&T et coordonnons avec nos partenaires des forces de l’ordre. »

La société a imputé cela à un « téléchargement illégal » sur une plateforme cloud tierce connue en avril – juste au moment où elle faisait face à une importante fuite de données non liée.

AT&T a indiqué qu'elle ne pense pas que les données exposées soient disponibles publiquement, mais CNN n'a pas pu vérifier cette affirmation de manière indépendante.

Alex Byers, porte-parole d’AT&T pour CNN, a déclaré que cet incident est totalement nouveau « et n’a aucun lien sous quelque forme que ce soit » avec un autre incident révélé en mars. À ce moment-là, AT&T avait indiqué que des informations personnelles telles que les numéros de sécurité sociale de 73 millions de clients actuels et anciens avaient été publiées sur le dark web.

La société a déclaré dans un communiqué à propos de la violation récente : « Nous sommes profondément désolés que cet incident soit survenu et restons engagés à protéger les informations que nous avons sous notre garde. »

AT&T comptait près de 110 millions d'abonnés sans fil à la fin de l'année 2022. La société a indiqué que les appels internationaux n’étaient pas inclus dans les données volées, à l’exception des appels vers le Canada.

La violation concernait également les clients de lignes fixes d’AT&T qui ont interagi avec ces numéros de téléphones mobiles.

AT&T a déclaré que le contenu des appels ou des messages textes, les informations personnelles telles que les numéros de sécurité sociale, les dates de naissance ou les noms des clients n’ont pas été divulgués dans cet incident, mais la société a reconnu que les outils disponibles au public peuvent souvent associer les noms à des numéros de téléphone spécifiques.

De plus, AT&T a indiqué que pour un sous-ensemble non divulgué de ses journaux, un ou plusieurs identifiants de site cellulaire associés aux appels et messages textes ont également été exposés. Ces données peuvent potentiellement révéler la localisation géographique large d’une ou plusieurs parties.

AT&T a promis d’informer les clients actuels et anciens dont les informations ont été incluses, et de leur fournir les ressources nécessaires pour protéger leurs informations.

Les détails d’utilisation tels que l’heure des appels et des messages textes n’ont pas été affectés non plus. Cependant, le porte-parole d’AT&T, Byers, a déclaré à CNN que le nombre d'appels et de messages textes ainsi que la durée totale des appels pour des jours ou mois spécifiques ont été exposés.

Cela signifie que les données ne détermineront pas précisément quand un numéro de téléphone a appelé un autre, mais peuvent révéler combien de fois les deux parties ont communiqué – et la durée des conversations – à des jours donnés.

AT&T a indiqué avoir appris le 19 avril qu’un « acteur menaçant affirmait avoir accédé illégalement aux journaux d’appels d’AT&T et les avoir copiés ». La société a déclaré avoir engagé des experts « immédiatement », et une enquête ultérieure a établi que les hackers ont divulgué les fichiers entre le 14 et le 25 avril.

Le ministère de la Justice retarde la divulgation publique

La société a déclaré que le ministère américain de la Justice a décidé en mai et juin que le retard dans la divulgation publique était justifié. Le FBI a indiqué qu’AT&T l’avait contacté peu après avoir pris connaissance de la violation, mais l’agence souhaitait examiner les données pour évaluer les risques potentiels pour la sécurité nationale.

Le FBI a déclaré : « En évaluant la nature de la violation, toutes les parties ont discuté du retard possible de la notification publique… en raison des risques potentiels pour la sécurité nationale et/ou la sécurité publique. » « AT&T, le FBI et le ministère de la Justice ont coopéré à travers le processus des premiers et deuxièmes retards, tout en échangeant des renseignements clés sur les menaces pour renforcer les pistes de l’enquête du FBI et aider AT&T dans ses opérations de réponse aux incidents. »

Sanaz Yashar, cofondatrice et PDG de la société de cybersécurité Zafran, a déclaré à CNN : « C’est très inquiétant, ces informations ont une grande valeur pour les cybercriminels et les États-nations. »

Yashar, ancien espion électronique israélien, a expliqué que les acteurs malveillants peuvent lier les données d’identifiants de cellule à d’autres informations facilement disponibles pour déterminer où travaille une personne – y compris dans des lieux sensibles comme la Maison Blanche et le Pentagone.

« Vous n’avez pas besoin de l’horodatage. Si quelqu’un est là tous les jours, vous pouvez comprendre où il travaille et sa routine. Ces informations sont extrêmement sensibles et c’est ainsi que les espions opèrent. »

Les actions d’AT&T ont chuté de 1 % vendredi après cette annonce.

Dans ce nouvel incident, AT&T a indiqué à CNN qu’elle avait appris en avril qu’une donnée client avait été illégalement téléchargée depuis son espace de travail sur Snowflake, une plateforme cloud tierce.

Brad Jones, Chief Information Security Officer de Snowflake, a déclaré à CNN dans une déclaration distincte que la société n’a trouvé aucune preuve que cette activité résultait d’une faille de sécurité, d’une erreur de configuration ou d’une violation de la plateforme Snowflake. Jones a précisé que cela avait été confirmé par des enquêtes menées par des experts en cybersécurité tiers de Mandiant et CrowdStrike.

AT&T a déclaré avoir lancé une enquête, engagé des experts en cybersécurité et pris des mesures pour fermer « le point d’accès illégal ».

La société coopère avec les forces de l’ordre pour attraper les responsables et comprend qu’au moins une personne a déjà été arrêtée.