Optus 2022
Le deuxième opérateur télécoms australien a perdu les données personnelles de 9,8 millions de clients — dont 1,2 million de numéros de passeport et de permis encore valides — via une API non authentifiée.
Fin septembre 2022, l’opérateur australien de télécommunications Optus annonce qu’un attaquant a accédé aux données personnelles d’environ 9,8 millions de clients actuels et anciens, dont 1,2 million de personnes dont les numéros de passeport ou de permis de conduire étaient encore valides. Dans un pays d’environ 26 millions d’habitants, l’ampleur fait la une nationale en quelques heures.
Une API sans authentification
Le reporting australien et international converge vers une cause racine remarquablement banale : un endpoint d’API d’Optus, exposé à l’internet public, qui acceptait des requêtes non authentifiées pour des dossiers clients. L’attaquant semble avoir énuméré des identifiants clients et aspiré les dossiers de manière séquentielle. Le mécanisme n’exigeait pas d’exploitation sophistiquée. Il exigeait de remarquer qu’une URL d’allure interne était joignable de l’extérieur.
L’attaquant a brièvement tenté d’extorquer Optus pour un million de dollars américains, publié un échantillon des données volées, puis retiré la tentative d’extorsion et présenté publiquement ses excuses. Un Sydneyien de dix-neuf ans a ensuite été arrêté en lien avec l’utilisation des données fuitées à des fins de fraude, distincte de l’intrusion d’origine.
Un recalibrage réglementaire
La divulgation d’Optus tombe en même temps que l’incident Medibank quelques semaines plus tard, et les deux ensemble déclenchent un basculement structurel du droit australien de la protection des données. Le gouvernement fédéral relève les sanctions maximales au titre du Privacy Act de 2,2 millions de dollars australiens à un montant au moins égal à 50 millions, ou trois fois la valeur de l’avantage retiré de la contravention.
Ce que la chronique retient
Optus a été l’appel qui a fait de la sécurité des API une conversation de niveau exécutif en Australie. Un seul endpoint non authentifié, en production, a suffi à exposer une fraction substantielle de la population adulte du pays. Tout régime réglementaire ayant ensuite demandé aux télécoms d’auditer leurs API publiques travaille, en un sens, à partir du gabarit Optus.