Violation de données de Service NSW

En 2020, Service NSW — l'agence de services numériques et en personne à guichet unique de l'État australien de Nouvelle-Galles du Sud — a subi une importante violation de données lorsqu'une campagne d'hameçonnage a compromis des dizaines de comptes de messagerie du personnel, exposant des centaines de gigaoctets de documents personnels de citoyens.

Ce qui s'est passé

À partir de mars 2020 environ, des attaquants ont mené une campagne d'hameçonnage imitant un courriel d'avertissement Microsoft Office 365, dirigeant les employés de Service NSW vers une fausse page de connexion Office 365 qui récoltait leurs identifiants. Grâce à cette technique, les attaquants ont obtenu l'accès aux comptes de messagerie de 47 membres du personnel.

En avril 2020, les intrus ont exfiltré environ 738 Go de données — soit approximativement 3,8 millions de documents — des boîtes aux lettres compromises. Comme les données résidaient dans la messagerie des employés plutôt que dans une base de données structurée, il s'agissait d'un ensemble tentaculaire et non structuré de correspondances, de formulaires et de pièces jointes accumulés au fil du temps.

Impact

Service NSW a d'abord estimé qu'environ 186 000 clients avaient été touchés. Après une longue analyse criminalistique des documents saisis, l'agence a revu ce chiffre à la baisse, à environ 104 000 clients dont les informations personnelles ont été confirmées volées.

Les documents exposés comprenaient des dossiers d'identité hautement sensibles : permis de conduire, dossiers Medicare et de santé, certificats de naissance, détails d'enregistrement d'armes à feu, informations de Working With Children Check et coordonnées de cartes de crédit. L'étendue des documents d'identité a rendu la violation particulièrement grave en raison du risque de vol d'identité en aval.

Conséquences

En décembre 2020, le vérificateur général de la NSW a publié un rapport critique sur la gestion des informations personnelles par Service NSW, concluant que les processus métier de l'agence — y compris le traitement de routine des documents d'identité des clients par courriel — augmentaient le risque et l'ampleur de la violation. Le commissaire à la protection de la vie privée de la NSW a également publié des déclarations publiques sur l'incident. Service NSW a notifié individuellement les clients touchés et a offert un soutien pour le remplacement des documents d'identité compromis.

Pourquoi c'est important

La violation de Service NSW est un exemple australien déterminant de la manière dont l'hameçonnage contre la messagerie du personnel — plutôt qu'un exploit technique sophistiqué — peut produire une violation d'importance nationale lorsqu'une agence gouvernementale stocke les documents d'identité des citoyens sous forme non structurée. Elle a accéléré la transition du gouvernement de la NSW vers l'authentification multifacteur, la réduction de la conservation de documents sensibles dans la messagerie et un contrôle renforcé de la collecte et du stockage des dossiers d'identité. L'incident préfigurait la vague de grandes violations australiennes — Optus, Medibank — qui domineraient l'agenda national deux ans plus tard.

Chronologie

1 mars 2020

Une campagne d'hameçonnage imitant des avertissements Microsoft Office 365 cible le personnel de Service NSW, compromettant 47 comptes de messagerie.

1 avril 2020

Les attaquants exfiltrent environ 738 Go de données, soit quelque 3,8 millions de documents, des boîtes aux lettres compromises.

7 septembre 2020

Service NSW révèle publiquement qu'environ 186 000 clients pourraient avoir vu leurs données personnelles volées.

1 décembre 2020

Après analyse criminalistique, Service NSW revoit le nombre de clients touchés à la baisse, à environ 104 000.

18 décembre 2020

Le vérificateur général de la NSW publie un rapport critiquant la gestion des informations personnelles par Service NSW.

Sources

audit.nsw.gov.auhttps://www.audit.nsw.gov.au/our-work/reports/service-nsws-handling-of-personal-information

service.nsw.gov.auhttps://www.service.nsw.gov.au/services/cyber-security/service-nsw-cyber-incident

ipc.nsw.gov.auhttps://www.ipc.nsw.gov.au/news-events/statements/privacy-commissioner-statement-service-nsw-cyber-incident-december-2020

siliconangle.comhttps://siliconangle.com/2020/09/07/186000-customer-records-stolen-australian-state-government-phishing-attack/

Incidents liés

Ingénierie socialeEn cours9 juin 2026

La messagerie gouvernementale française Tchap compromise via un compte détourné (2026)

Les autorités françaises ont confirmé qu'un attaquant avait détourné un compte utilisateur de Tchap pour accéder à des salons publics de la messagerie sécurisée de l'État, l'intrus affirmant avoir aspiré des dizaines de milliers de comptes et des centaines de milliers de messages.

Victim: Tchap (DINUM)

Ingénierie socialeContenu8 mars 2024

Fuite chez France Travail

Le 8 mars 2024, l'opérateur public France Travail a révélé une fuite de données exposant les informations personnelles de jusqu'à 43 millions de demandeurs d'emploi inscrits au cours des 20 dernières années, dont nom, date de naissance, numéro de sécurité sociale et coordonnées.

Victim: France Travail
Records: 43.0M

Ingénierie socialeRésolu1 juin 2015

Violation de données du Service des retraites du Japon

Un e-mail d'hameçonnage ciblé porteur d'un logiciel malveillant a compromis le Service des retraites du Japon, divulguant les noms, identifiants, adresses et dates de naissance d'environ 1,25 million d'affiliés et forçant une refonte nationale de la cybersécurité du secteur public.

Victim: Japan Pension Service
Records: 1.3M

Ingénierie socialeRésolu19 août 2020

Fuite de données Experian Afrique du Sud (Afrique du Sud, 2020)

Un fraudeur se faisant passer pour un client légitime d'Experian a obtenu les données personnelles de 24 millions de Sud-Africains et de 793 749 entreprises, dans ce qui est devenu l'une des plus grandes fuites de données de l'histoire de l'Afrique du Sud.

Victim: Experian South Africa
Records: 24.0M