Nouvelle fuite de données T-Mobile

L’opérateur de téléphonie mobile américain T-Mobile a annoncé le jeudi 19 janvier 2023 avoir été victime d’une cyberattaque ayant compromis les données de 37 millions de clients.

Dirk Schrader, VP of security research chez Netwrix, a fait le commentaire suivant :

« Dans son dossier auprès de la SEC (Securities and Exchange Commission), T-Mobile a déclaré que l’utilisation non autorisée d’une seule API a été détectée le 5 janvier et stoppée dans les vingt-quatre heures suivantes. Cet accès aurait été initié le 25 novembre 2022.

Les API sont comme des autoroutes vers les données d’une entreprise : hautement automatisées et permettant l’accès à de grandes quantités d’informations. Comme la numérisation repose fortement sur ce type d’interaction automatisée à l’aide d’API, et que le délai de mise sur le marché l’emporte souvent sur la sécurité, le risque lié aux API non surveillées est susceptible d’augmenter encore davantage à l’avenir.

Désormais, les entreprises de taille moyenne disposent bien souvent de dizaines, voire de centaines, d’API dans leur infrastructure IT. Grâce à ces technologies, les organisations n’ont plus besoin d’utiliser l’authentification mutuelle. De plus, s’il n’y a pas de contrôle en place pour surveiller les données laissées par le domaine via l’API, il n’y en a pas non plus pour les informations des clients.

Les données volées de T-Mobile permettront aux cybercriminels usant de ransomwares d’améliorer la crédibilité des emails de phishing envoyés à leurs victimes. Un tel ensemble de données serait également intéressant pour les « Initial Access Brokers », des hackers qui se concentrent sur la collecte d’identifiants d’ordinateurs personnels et de réseaux d’entreprise. En termes simples, ces acteurs fusionnent les données de plusieurs fuites (comme celle ayant visée récemment Twitter) pour proposer une histoire encore plus convaincante pour la prochaine campagne de phishing.

Ces emails de phishing s’amélioreront cependant avec l’ensemble des détails personnels à disposition des cybercriminels. Des outils comme ChatGPT augmenteront également la crédibilité et l’efficacité de toute attaque déployée par ces groupes. Les formations de sensibilisation au phishing enseignent aux utilisateurs à rechercher dans les messages les fautes d’orthographe grammaticale ou les incohérences de l’histoire ; mais plus les cyber-escrocs disposent de données détaillées, plus leurs outils produisent des campagnes de phishing convaincantes, et donc plus leur taux de réussite est élevé.

Les entreprises doivent par conséquent intégrer un contrôle strict sur qui utilise les API, à quel moment et à quel rythme. Une stratégie Zero Trust est ainsi la meilleure approche pour réduire la surface d’attaque dans cette situation, car elle restreint l’accès aux ressources à la fois à l’intérieur et à l’extérieur du réseau, jusqu’à ce que la validité de la demande soit confirmée. Les clients de T-Mobile dont les données ont été compromises doivent être très prudents quant aux emails reçus : non seulement s’ils prétendent être de T-Mobile, mais aussi tout autre email inattendu ; tous les messages et les adresses emails de l’expéditeur devant être examinés très attentivement afin de ne pas tomber dans un piège. »

Mots-clés : cybersécurité, sécurité informatique, protection des données, menaces cybernétiques, veille cyber, analyse de vulnérabilités, sécurité des réseaux, cyberattaques, conformité RGPD, NIS2, DORA, PCIDSS, DEVSECOPS, eSANTE, intelligence artificielle, IA en cybersécurité, apprentissage automatique, deep learning, algorithmes de sécurité, détection des anomalies, systèmes intelligents, automatisation de la sécurité, IA pour la prévention des cyberattaques.