Le vol d'un PC portable chez AT&T révèle que le roi est nu
Et un PC portable de perdu de plus. Cette fois-ci c'est chez l'opérateur télécoms AT&T que cela s'est passé. Le portable a été dérobé dans une voiture d'un employé le 15 mai dernier. Il contenait les noms, les numéros de sécurité sociale et les plans de rémunération de cadres de l'opérateur. AT&T a refusé de communiquer le nombre de personnes concernées. Il a diffusé un email de questions/réponses vers ses managers. L'email débute par « Nous regrettons profondément cet incident. Nous vous communiquerons bientôt les actions additionnelles que nous prendrons afin de renforcer nos politiques qui protègent les données personnelles sensibles et d'éviter que de tels incidents ne se reproduisent ». Un responsable d'AT&T s'exprimant de façon anonyme déplore : "qu'un opérateur télécoms de la taille d'AT&T - avec plus de 100 millions de clients - ne chiffre pas les données personnelles ». Ironie de l'histoire, AT&T avait annoncé quelques jours avant que le vol ne soit rendu public, un nouveau service de chiffrement. « L'absence de chiffrement ou d'une meilleure protection est inexcusable. Selon l'email d'AT&T, 'Le portable n'était pas chiffré mais protégé par mot de passe, et AT&T a enclenché le processus pour chiffrer de tels systèmes'. Bien, mais ils auraient dû être dans ce processus il y a déjà un an. Quant à la protection par mot de passe, c'est une plaisanterie en termes de sécurité, critique Kelly Todd, membre du site de sécurité attrition.org, qui gère un historique des brèches de sécurité. Voici l'essentiel de l'email de questions/réponses envoyé par AT&T à ses managers : Q1. Quand et où cela a-t-il eu lieu ? A. Le portable a été volé le 15 mai dans le véhicule d'un employé, qui a alerté son supérieur. La police enquête sur cette affaire. Nous ne fournirons pas d'autres details. Q2.Pourquoi ne dites vous pas où cela s'est passé ? A. Nous pensons que le vol a été commis au hasard,et dans la plupart des cas le disque est effacé et le PC revendu. Nous ne voulons pas alerter le voleur de la nature de ce qu'il a dérobé. Q3. Quelles informations étaient sur le PC ? A. Il y avait des fichiers de noms, les numéros de sécurité sociale, et les salaires pour un certain nombre de managers d'AT&T. Q4. Est-ce que certaines de ces données ont été utilisées? A. Nous n'avons pas de raison de le penser. Nous coopérons avec les autorités locales afin de récupérer le PC. Q5. Combien d'employés sont concernés ? A. Notre règle est de ne pas donner cette information. Q6. Pourquoi cet employé avait-il ces informations sur son PC ? A. Cet employé accédait à ces données dans le cadre de son travail. Nous ne fournissons pas de détails supplémentaires sur les circonstances. Q7. Est-ce que les données étaient chiffrées ? Si non, pour quelle raison? A. Ce n'était pas chiffré, mais le portable était protégé par mot de passe. AT&T a enclenché le processus de chiffrer de tels systèmes. Q8. Comment cela a-t-il pu se produire ? A Il s'agissait d'un acte criminel commis par un inconnu. AT&T prend des mesures pro-actives afin de rappeler aux employés la nécessité de protéger la propriété de la compagnie et d'éviter de tels incidents dans le futur. Q9. Quelles sont ces mesures pro-actives ? A. Les managers dans la société seront responsables de la conformité réglementaire avec les standards existants pour l'usage de terminaux portables à la fois par les employés et les vendeurs. Ces standards comprennent le chiffrement des données sensibles et la sécurisation physique des équipements contenant ces données. Q10. Pourquoi ces standards n'ont-ils pas été suivis dans ce cas ? A. Les mesures et les précautions que nous mettons en place afin de protéger la sécurité de la propriété de la compagnie et les données personnelles des employés n'ont pas été suivies. Nous continuerons de rappeler à nos employés dans les termes les plus forts ce que sont les règles et les attentes, et nous renforcerons ces politiques. Fin pour l'instant.