T-Mobile, encore

En août 2021, T-Mobile annonce qu’un attaquant a volé les données personnelles d’environ cinquante-quatre millions de clients actuels, anciens et potentiels — numéros de sécurité sociale, détails de permis de conduire, IMEI, et dans certains cas codes PIN de compte. L’attaquant, un jeune homme vivant en Turquie, accorde plus tard un entretien à un média décrivant l’intrusion comme le résultat d’une sécurité « atroce » de T-Mobile : un seul routeur GGSN sans protection exposé à internet, accessible avec des identifiants par défaut.

Un schéma qui se répète

L’incident T-Mobile de 2021 n’est pas isolé. L’entreprise a divulgué des brèches notables de données clients en 2018, 2019, 2020 et 2023, en plus de l’événement phare de 2021. Plusieurs recours collectifs ont été consolidés ; un règlement de 350 millions de dollars a suivi en 2022. La Federal Communications Commission a imposé en 2024 une amende civile supplémentaire de 31,5 millions de dollars et a exigé que T-Mobile investisse plusieurs centaines de millions de dollars supplémentaires en contrôles de sécurité dans le cadre d’un consent decree.

La récurrence a suscité un commentaire explicite des régulateurs, qui ont traité le schéma lui-même — plutôt qu’une intrusion isolée — comme le problème sous-jacent. Les comptes internes apparus via les contentieux suggèrent un programme de sécurité perpétuellement dépassé par le volume de données détenues par l’entreprise et par la vitesse de son intégration IT consécutive aux fusions.

Ce que la chronique retient

T-Mobile est l’exemple debout de la récurrence des brèches comme condition stratégique plutôt qu’une série d’accidents. L’affaire est de plus en plus citée dans les propositions de politique publique — régulation sectorielle, contrôles minimums obligatoires, responsabilité personnelle des dirigeants — qui prennent la défaillance sérielle comme un signal que les régulateurs devraient prendre directement en compte.