États-Unis : les données de 9 millions de clients d’AT&T exposées

Aux États-Unis, le géant des télécoms AT&T a reconnu, début mars 2023, une fuite de données de grande ampleur. Un de ses fournisseurs de services marketing a en effet été victime d’une cyberattaque, exposant les informations personnelles de 9 millions des clients de l’opérateur télécoms.

AT&T a précisé que ces données ne comportaient aucune information sensible. Elles se limitaient à la « Customer Proprietary Network Information » (CPNI), un ensemble des métadonnées spécifiques à un client concernant son compte téléphonique et son utilisation.

Selon AT&T, les données exposées comprennent le prénom du client, son numéro de téléphone mobile, son numéro de compte client associé, et son adresse électronique. Un petit pourcentage des dossiers comportaient également des informations sur la facturation et les paiements du client – mais sans données bancaires.

La loi américaine interdit certes l’utilisation directe de la CPNI à des fins de marketing ou de publicité. Mais cette interdiction se limite aux appels téléphoniques et aux SMS, où l’opérateur agit en tant que « fournisseur de télécommunications ».

En revanche, pour toutes les applications liées à Internet, un opérateur télécoms agit en tant que « fournisseur de services d’information ». Il n’est donc pas soumis aux lois interdisant le partage de la CNPI à des fins de marketing.

Les trois principaux opérateurs télécoms américains (AT&T, T-Mobile et Verizon) affirment anonymiser les données qu’ils partagent par ce biais. Mais des chercheurs en cybersécurité ont montré que cette anonymisation pouvait facilement être cassée. La violation dont est victime AT&T prouve d’ailleurs que ces partages sont loin d’être sûrs pour leurs clients.

Ces derniers doivent demander explicitement à leur opérateur de ne pas partager ces données à des fins de marketing, s’ils ne veulent pas qu’elles le soient.