2022 a marqué une année charnière pour les violations de la cybersécurité en Australie.
Les fournisseurs de télécommunications, tels qu’Optus, et les assureurs santé privés comme Medibank ont subi des violations de données à grande échelle touchant des millions d’Australiens, ce qui a entraîné une attention accrue des régulateurs et des entreprises sur la cybersécurité dans les années qui ont suivi.
Ces deux incidents ont également conduit à des actions en justice, avec des documents judiciaires récents détaillant les causes techniques présumées de ces violations. Pour Optus, une erreur de codage dans une API exposée et inactive a permis l’accès, tandis que des identifiants compromis sur un compte administrateur ont ouvert la voie aux données clients de Medibank.
Analyse des violations de données : le cas d’Optus
Selon l’Autorité australienne des communications et des médias (ACMA), une erreur de codage dans les contrôles d’accès d’une API inactive, accessible sur Internet, a permis à un cybercriminel de contourner les défenses d’Optus et d’exposer les informations personnelles identifiables de 9,5 millions de clients en 2022.
Impact d’une erreur de codage sur la sécurité
Dans une déclaration jointe aux ordonnances judiciaires publiées en juin 2024, l’ACMA a expliqué que les contrôles d’accès d’une API inutilisée, conçue à l’origine pour permettre aux clients d’accéder à des informations sur le site d’Optus via un sous-domaine, avaient été compromis par une erreur de codage survenue en 2018.
Bien qu’Optus ait découvert et corrigé cette erreur en août 2021 sur son domaine principal, l’entreprise n’a pas détecté et corrigé la même erreur sur le sous-domaine. Cela a laissé Optus vulnérable à une cyberattaque lorsque l’API est devenue accessible sur Internet en 2020.
L’ACMA affirme qu’Optus a manqué plusieurs occasions d’identifier cette erreur au cours de quatre années, notamment lors de son déploiement en production après révision et test en 2018, lors de son accès Internet en 2020, et lorsque l’erreur a été détectée sur le domaine principal.
« Le domaine cible a été laissé inactif et vulnérable pendant deux ans et n’a pas été désactivé malgré l’absence de besoin », indique l’ACMA dans les documents judiciaires.
Exploitation de l’erreur de codage par un cybercriminel
Cette erreur de codage a permis à un attaquant de contourner les contrôles d’accès de l’API et d’envoyer des requêtes aux API ciblées pendant trois jours en septembre 2022, selon l’ACMA, ce qui a permis d’accéder aux informations personnelles des clients.
De plus, l’ACMA précise que l’attaque « n’était pas hautement sophistiquée et ne nécessitait pas de compétences avancées ou de connaissances internes sur les processus ou systèmes d’Optus », mais a été « réalisée par un simple processus d’essai et d’erreur ».
Optus évoque une stratégie d’évasion du hacker
Suite à la procédure de l’ACMA devant le tribunal fédéral, Optus a confirmé une vulnérabilité jusqu’alors inconnue due à une erreur de codage historique. Dans une déclaration à iTnews, Optus a affirmé qu’elle continuerait de coopérer avec l’ACMA, tout en défendant l’action si nécessaire pour rectifier les faits.
Le PDG par intérim d’Optus, Michael Venter, a déclaré que la vulnérabilité avait été exploitée par un « criminel motivé et déterminé » qui a contourné divers contrôles d’authentification et de détection, en imitant l’activité habituelle des clients en utilisant des dizaines de milliers d’adresses IP.
Les informations personnelles de plus de 9,5 millions d’Australiens ont été compromises lors de cette violation, incluant noms, dates de naissance, numéros de téléphone, adresses, détails de permis de conduire et numéros de passeport et de carte Medicare, dont certains ont été publiés sur le dark web.
Échecs de cybersécurité chez Medibank
Le manque de mise en œuvre de contrôles de sécurité tels que l’authentification multifacteur (MFA) pour l’accès au réseau privé virtuel, ainsi que l’absence de réaction face à plusieurs alertes de son système de détection et de réponse aux menaces, ont ouvert la voie à la violation de données de Medibank, selon le Commissaire à l’information d’Australie.
Accusations de graves manquements en matière de cybersécurité
Dans les documents judiciaires d’une affaire intentée contre Medibank par le régulateur de la vie privée en Australie, le Commissaire à l’information (AIC) allègue qu’un nom d’utilisateur et un mot de passe d’un sous-traitant de Medibank ont permis aux criminels de pénétrer dans le système. Ces identifiants ont ensuite été synchronisés sur son ordinateur personnel et extraits via un logiciel malveillant.
Le Commissaire affirme qu’un opérateur de service informatique a enregistré les identifiants de Medibank dans son profil de navigateur Internet personnel sur son ordinateur de travail. Lorsqu’il s’est ensuite connecté à son profil sur son ordinateur personnel, les identifiants ont été synchronisés et volés via un malware.
Les identifiants comprenaient un compte d’accès standard et un compte administrateur, ce dernier permettant d’accéder à « la plupart, sinon à la totalité, des systèmes de Medibank », y compris les pilotes réseau, les consoles de gestion et l’accès à distance aux serveurs de saut, utilisés pour accéder à certains répertoires et bases de données de Medibank.
Après s’être connecté au serveur Microsoft Exchange de Medibank pour tester les identifiants du compte administrateur, l’AIC affirme que l’attaquant a pu s’authentifier et se connecter au VPN Global Protect de Medibank. Étant donné que la MFA n’était pas activée, seule un certificat de dispositif ou un nom d’utilisateur et un mot de passe étaient requis.
Entre le 25 août et le 13 octobre 2022, l’attaquant a accédé à « de nombreux systèmes informatiques », dont certains ont révélé comment les bases de données de Medibank étaient structurées. Le criminel a ensuite extrait 520 gigaoctets de données des systèmes MARS Database et MPLFiler de Medibank.
Le Commissaire a allégué que le système de détection et de réponse aux menaces de Medibank avait généré diverses alertes concernant l’activité de l’attaquant à différentes étapes de l’infiltration, mais que ces alertes n’avaient pas été triées ni escaladées par l’équipe de cybersécurité avant le 11 octobre.
Améliorations de la cybersécurité chez Medibank
Les données extraites lors de la violation ont ensuite été publiées sur le dark web, incluant noms, dates de naissance, sexe, numéros Medicare, adresses, adresses électroniques, numéros de téléphone, détails de visa pour les travailleurs internationaux et clients visiteurs.
Des données sensibles de PII publiées comprenaient également des informations sur les demandes de remboursement des clients, a déclaré l’AIC, incluant les noms des patients, les noms des prestataires, les lieux et coordonnées des prestataires, ainsi que les numéros de diagnostic et les dates de traitement.
Deloitte a réalisé un examen externe de la violation, et dans une mise à jour, Medibank a déclaré qu’elle avait coopéré avec les enquêtes de l’OAIC suite à l’incident. L’assureur santé a indiqué qu’il avait l’intention de défendre les procédures engagées par l’AIC.
