AT&T écope d’une amende de 25 millions de dollars pour n’avoir pu empêcher des détournements de données dans ses centres d’appels

Le 9 avril 2015 par Magazine En-Contact

originalPlus de 280 000 clients de l’opérateur mobile ont été victimes d’une série de détournements de leurs données personnelles au sein des centres d’appels d’AT&T, opérés par des prestataires, relate David Crow dans son article du 8 Avril 2015 pour le Financial Times.
On ne sait pas encore si parmi eux figurent des clients aussi connus que Nicolas Sarkozy, qui avait subi la même mésaventure en 2008, pour son abonnement chez Canal +. Comment les opérateurs peuvent-ils se prémunir contre ce type d’infractions, et sécuriser les installations de leurs prestataires, notamment en centres d’appels ? Ce sera l’un des thèmes de DHDB – Time to move on ! le premier forum sur la sécurité des données en France, le 25 juin 2015, à Molitor.

AT&T condamné à une amende de 25 millions de dollars pour une série de vols de données personnelles

Le gendarme des télécoms américain a infligé une amende de 25 millions de dollars à AT&T, pour ne pas avoir pu empêcher une série d’intrusions dans ses systèmes informatiques, suite auxquelles les données confidentielles de 280 000 clients ont été subtilisées afin de faciliter le trafic de téléphones portables volés.
Des salariés des centres d’appels d’AT&T au Mexique, en Colombie et aux Philippines ont accédé aux informations personnelles de clients basés aux Etats-Unis, dont leurs numéros de sécurité sociale, et les ont transmises à des tiers. Les enquêteurs supposent que ces données ont été ensuite utilisées pour déverrouiller des téléphones portables volés, pour qu’ils puissent être revendus.
Deux employés d’un centre d’appels au Mexique ont admis avoir vendu les informations à une personne connue par le surnom de « El Pelon », un terme d’argot espagnol grossièrement traduit par « le chauve ». Des centaines de milliers de demandes de codes de déverrouillage de téléphones ont ensuite été envoyées sur le portail en ligne d’AT&T.
AT&T, deuxième opérateur mobile aux Etats-Unis avec plus de 100 millions d’abonnés, a consenti à payer une amende administrative de 25 millions de dollars pour acquitter sa condamnation, ce qui constitue la plus grosse amende jamais infligée pour cause de détournement de données personnelles par la Commission Fédérale des Communications (FCC).
L’entreprise a également consenti à améliorer ses procédures de sécurité en engageant un nouveau « senior compliance manager » et à informer tous les clients lésés.
« La commission ne peut pas – et ne va pas – rester les bras croisés quand des pratiques de sécurité des données négligentes exposent les données personnelles de centaines de milliers d’Américains parmi les plus vulnérables à un vol d’identité et à des fraudes », a déclaré le président de la FCC Tom Wheeler. « La commission exercera toute son autorité à l’encontre des entreprises qui échouent à protéger les informations personnelles de leurs clients », a-t-il ajouté.

Les enquêteurs de la FCC ont commencé leur investigation en mai 2014 lorsqu’AT&T a révélé que trois employés d’un de leurs centres d’appels mexicains avaient accédé de manière non conforme à des données personnelles de certains clients. Le centre d’appels était géré par une société tierce pour le compte d’AT&T afin d’assurer un service client en langue espagnole à destination des clients américains d’AT&T, mais AT&T était responsable de la gestion des systèmes informatiques et de leur sécurisation. AT&T a depuis lors mis fin à son contrat avec ce prestataire.
AT&T a eu ses premiers soupçons en décembre 2012 ; une poignée de salariés avaient alors été licenciés, ou avaient signifié leur démission. Pour autant, AT&T n’avait pas révélé ces intrusions à l’United States Secret Service ou au FBI, parce que l’entreprise avait conclu qu’il n’y avait pas eu de détournement d’ « informations du réseau propriétaire des clients » (« customer proprietary network information »).
Suite à une autre intrusion en avril 2014, AT&T a initié une enquête interne et a interrogé plusieurs salariés. L’un a été décrit comme ayant « une attitude évasive » et a été confondu par un détecteur de mensonges. C’est à ce moment là que l’opérateur a informé les autorités compétentes, qui ont commencé leur enquête peu de temps après. Le mois dernier, AT&T a déclaré aux autorités qu’elle enquêtait sur une série d’intrusions similaires dans des centres d’appels en Colombie et aux Philippines.
« Nous avons changé nos politiques et renforcé nos opérations », a annoncé AT&T par voie de communiqué. « Même si chaque usage frauduleux de données personnelles constitue une situation grave, nous n’avons aucune raison de croire que les informations ont été utilisées à fins de vol d’identité ou de fraude financière à l’encontre de nos clients ».

Abonnez-vous pour accéder aux contenus exclusifs d’En-Contact !

Créer un compte

*
*
*
*
*


Commentaires

Laisser un commentaire