T-Mobile poursuivi par l'État de Washington pour négligence cybersécuritaire majeure ayant compromis des millions de données personnelles

L'État de Washington a intenté une action en justice contre T-Mobile pour des pratiques de cybersécurité présumées défaillantes ayant conduit à une violation massive de données en 2021, compromettant les informations personnelles sensibles de plus de 2 millions de résidents. Cette faille de sécurité, qui s'est étendue de mars à août 2021, n'a été découverte que lorsqu'un tiers anonyme a alerté l'entreprise de la mise en vente de données clients sur le dark web, révélant des lacunes critiques dans les systèmes de surveillance de T-Mobile. L'ampleur de la violation est considérable, touchant 79 millions de clients à l'échelle nationale, avec notamment l'exposition de 183 000 numéros de sécurité sociale pour les seuls résidents de l'État de Washington, ainsi que des numéros de téléphone, noms, adresses physiques et informations de permis de conduire.

Le procureur général Bob Ferguson allègue que T-Mobile était conscient depuis des années de ses faiblesses en matière de cybersécurité sans y remédier, citant notamment l'utilisation de mots de passe "évidents" pour protéger des comptes contenant des données sensibles. La communication de T-Mobile suite à la violation est également mise en cause, l'entreprise ayant omis des informations cruciales dans ses messages aux clients affectés et ayant potentiellement minimisé la gravité de l'incident. En septembre, T-Mobile a déjà accepté de payer une amende de 31,5 millions de dollars à la Federal Communications Commission (FCC) et s'est engagé à renforcer ses pratiques cybersécuritaires, notamment par l'adoption d'une architecture "zero-trust" et l'authentification multifactorielle.

La plainte vise non seulement des pénalités civiles mais exige également un renforcement substantiel du programme de cybersécurité de T-Mobile, soulignant le contraste entre les promesses marketing de l'entreprise concernant la protection des données et la réalité de ses pratiques de sécurité. Cette affaire met en lumière l'importance cruciale d'une gestion proactive de la cybersécurité et les conséquences potentiellement dévastatrices d'une protection inadéquate des données personnelles dans le secteur des télécommunications.

Source : The Cyber Post