Le gouvernement et les acteurs du secteur des technologies en Australie voient le hack d’Optus comme une opportunité de réformer le cadre législatif technologique du pays.
La semaine dernière, l’opérateur de téléphonie mobile australien Optus, a été victime d’un piratage ayant compromis 9 millions de dossiers clients. Lesdites données concernent des dates de naissance, des numéros de passeport ainsi que des adresses électroniques. Dans la foulée, l’opérateur a indiqué que l’attaque ne présentait « pas de difficulté technologique ». Les cadres dirigeants ont néanmoins évoqué une attaque « sophistiquée », sans entrer dans les détails.
La porte grande ouverte
L’histoire aurait pu s’arrêter là. C’était sans compter une découverte embarrassante. Les pirates ont en fait exploité une API en ligne ne nécessitant pas d’authentification ou d’autorisation pour accéder aux données des clients. Face à ce manque de protection minimale flagrant, le gouvernement australien s’en est mêlé.
Le premier ministre australien Anthony Albanese a d’abord déclaré que le gouvernement et Optus travaillaient conjointement afin de fournir les informations nécessaires à l’enquête dirigée par la police australienne et le FBI. Mais le moins que l’on puisse dire, c’est que le chef du gouvernement fédéral l’a mauvaise. « Nous savons que cette intrusion n’aurait jamais dû se produire » avant d’ajouter : « de toute évidence nous avons besoin de meilleures lois, après une décennie d’inaction, pour gérer l’immense quantité de données collectées par les entreprises sur les Australiens, et un cadre clair lorsqu’elles ne les gèrent pas bien. »
Imposer des normes minimales de sécurité
De son côté, Chris Vein, PDG de l'association The Australian Computer Society a expliqué qu’au « au cours de la dernière décennie, nous avons vu une série de lois sur la sécurité, la conservation des données, le blanchiment d'argent et la confidentialité pour résoudre divers problèmes avec peu de coordination entre ces lois ». En conséquence de quoi, il a été difficile pour les entreprises de suivre les meilleures pratiques de gestion des données tout en se conformant aux législations.
ACS voit dans l'affaire Optus une opportunité de moderniser le cadre législatif technologique australien. Car, rappelle-t-elle, l’Essential Eight du Australian Cyber Security Center, l'agence gouvernementale australienne responsable de la cybersécurité, se concentre sur les attaques de logiciels malveillants et de ransomwares et ne couvrent pas la gestion des données sensibles ou leur exposition sur internet.