Budget fédéral 2022 : le piratage d’Optus fera l’objet d’une enquête grâce à une aide de 5,5 millions de dollars

Caché dans les documents budgétaires d’octobre, un investissement de deux ans pour le Bureau du Commissaire australien à l’information (OAIC), un département qui a vu sa charge de travail augmenter dans un contexte de piratages et de cyberattaques croissants contre les entreprises et les particuliers.

Le 22 septembre, l’OAIC a ouvert une enquête sur les « pratiques de traitement des informations personnelles » d’Optus, à la suite d’une cyberattaque massive au cours de laquelle des pirates ont eu accès aux données de 9,8 millions d’Australiens.

« L’enquête de l’OAIC se concentrera sur la question de savoir si les sociétés Optus ont pris des mesures raisonnables pour protéger les informations personnelles qu’elles détenaient contre l’utilisation abusive, l’interférence, la perte, l’accès non autorisé, la modification ou la divulgation, et si les informations collectées et conservées étaient nécessaires pour mener à bien leurs activités », a déclaré le chien de garde dans un communiqué.

Si l’enquête révèle qu’Optus a gravement porté atteinte à la vie privée de ses clients, la société de télécommunications pourrait se voir infliger des sanctions civiles pouvant aller jusqu’à 2,2 millions de dollars pour chaque infraction.

La société de télécommunications a initialement omis de dire au gouvernement fédéral que les numéros de cartes d’assurance maladie, de permis de conduire et de passeports avaient été compromis lors de l’attaque.

Environ 1,2 million de clients d’Optus ont eu accès à au moins une forme d’identification courante par les pirates.

D’autres données clients telles que les noms, les numéros de téléphone, les dates de naissance et les adresses électroniques ont également été compromises, exposant ainsi des millions d’Australiens à des risques d’escroquerie.

La commissaire à l’information, Angelene Falk, a précédemment décrit l’attaque comme étant la plus importante en Australie depuis 2018, date à laquelle le régime des violations de données notifiables a été mis en place.

Mme Falk a demandé au gouvernement travailliste d’allouer davantage de fonds à l’OAIC, affirmant que le bureau était « incapable de suivre » l’augmentation des demandes, en particulier pour les demandes de liberté d’information.

Optus s’est excusé à plusieurs reprises auprès de ses clients pour ce piratage et coopère avec les organisations gouvernementales, la police et le cabinet Deloitte qui enquête sur cet événement.

Cependant, elle a été critiquée à la fois par le gouvernement fédéral et par les clients, le ministre de la cybersécurité Clare O’Neil ayant déclaré que le teclo avait laissé « la porte ouverte » à une violation.

La grande entreprise a également été critiquée pour la façon dont elle a diffusé les informations sur ce qui s’est passé après l’attaque.

« L’un des véritables problèmes est le manque de communication d’Optus, tant avec ses clients qu’avec le gouvernement », a déclaré la ministre de l’Environnement, Tanya Plibersek.

« Je ne pense pas que la société fasse un travail particulièrement bon avec ses clients ou fournisse au gouvernement les informations dont nous avons besoin pour assurer la sécurité des gens. »

Les clients dont les données personnelles ont été divulguées par des pirates informatiques sont confrontés à la menace d’escroqueries, avec un homme de Sydney déjà inculpé pour un prétendu système de SMS.

L’AFP a déclaré qu’il « travaillait sur la liste » des 10 200 clients d’Optus dont les données ont été divulguées, et qu’il aurait exigé des paiements de 2000 $ de 93 clients avant d’être appréhendé par les agents.