[VULNÉRABILITÉ] Faille de sécurité chez Telefonica : des millions de données clients exposées

     L’opérateur espagnol Telefonica a été victime d’une faille de sécurité. Les pirates qui sont parvenus à exploiter une vulnérabilité ont exposé les données privées et confidentielles des utilisateurs ainsi que les données facturation d’autres clients. Ces dernières sont facilement accessibles. Elles nécessitent de se connecter au système et d’accéder à la facture après avoir modifié l’URL. Les données exposées ne sont autres que des numéros de téléphone, des adresses résidentielles ou encore des numéros d’identification nationaux. Elles ont également été rendues disponibles en format CVS pour le téléchargement.

Selon un rapport d’EI Espagnol, cette attaque serait similaire à celle de juillet 2017 sur les systèmes espagnols victimes d’une divulgation des données personnelles des utilisateurs. Un des clients, Movistar, qui a dénoncé cette violation de la sécurité, a soumis un rapport à la FACUA, un groupe de défense des droits des consommateurs en Espagne qui a porté plainte auprès de l’AEPD (Agence espagnole de protection des données) aussi responsable de l’application du RGPD. Cette faille pourrait donc coûter jusqu’à 20 millions d’euros d’amende ou exiger la soumission de 2 à 4 % de son chiffre d’affaires annuel. En réponse, Telefonica a affirmé qu’aucun accès frauduleux n’avait été signalé et que la faille a été corrigée.

La mise en place du RGPD contraint les entreprises qui numérisent les données utilisateurs à les sécuriser davantage. Les failles exploitables deviennent rapidement des vulnérabilités pour la sécurisation de la vie privée des clients. Les opérateurs télécom se doivent d’être plus impliqués dans la détection des cyberattaques en surveillant de près les activités réseaux et en faisant remonter toute information suspecte. Seulement, les opérateurs n’ont pas l’autorisation de fouiller dans leurs flux pour détecter des attaques, ils ont seulement le droit de protéger leur système dans les flux qu’ils transportent. C’est à ce titre que l’ANSSI a notamment proposé un système collaboratif avec les collaborateurs qui à son signalement, pourront procéder sur leurs flux à un traçage des attaques.