Skip to content
Cyber Breaches
Recherche
Exploitation de vulnérabilitéRésolu

Violation de données clients de TalkTalk

Une attaque par injection SQL — commise principalement par quatre adolescents britanniques — a exposé les données personnelles d'environ 157 000 clients de TalkTalk, y compris des coordonnées bancaires. Elle a déclenché une amende record de 400 000 £ de l'ICO britannique.

Victime
TalkTalk Telecom Group
Perte
$90.0M
données
157.0K
utilisateurs
157.0K
SecteurTélécoms
PaysRoyaume-Uni
GroupeDaniel Kelley, Matthew Hanley, Connor Allsopp, Aaron Sterritt (UK teenagers, convicted)

En octobre 2015, TalkTalk — un opérateur télécoms britannique comptant environ 4 millions de clients — a révélé une « cyberattaque importante et soutenue » sur son site web. Les premières déclarations publiques suggéraient que l'attaque pourrait toucher l'ensemble des 4 millions de clients. La portée finale s'est établie à environ 157 000 clients dont les données personnelles ont été exposées et 15 656 dont les coordonnées bancaires ont été exposées. L'attaque a déclenché la plus lourde sanction de l'ICO britannique de l'époque et a été imputée principalement à quatre adolescents britanniques.

L'affaire est devenue la référence canonique britannique en matière de violation télécoms et le moteur de politique publique à l'origine de l'extension en 2018 des règles britanniques de notification des violations.

Ce qui s'est passé

L'attaque était techniquement peu sophistiquée. L'infrastructure du portail client de TalkTalk présentait des vulnérabilités basiques d'injection SQL dans une application web héritée acquise dans le cadre de l'historique de rachats de TalkTalk. Les attaquants, principalement des adolescents basés au Royaume-Uni, ont identifié la vulnérabilité au moyen d'outils de balayage automatisés et l'ont exploitée manuellement sur plusieurs jours.

L'intrusion a été masquée par une attaque par déni de service distribué parallèle qui a accaparé l'attention de l'équipe de sécurité de TalkTalk. Tout en répondant à l'attaque DDoS, TalkTalk n'a pas initialement remarqué le sondage par injection SQL présent dans les mêmes journaux.

Les données exfiltrées :

  • Noms, adresses, dates de naissance, adresses e-mail, numéros de téléphone d'environ 156 959 clients.
  • Numéros de compte bancaire et codes guichet d'environ 15 656 clients.
  • Numéros de carte de crédit partiels (tronqués) pour quelques enregistrements supplémentaires.

Les adolescents

La Metropolitan Police a arrêté le premier suspect — un jeune de 15 ans en Irlande du Nord — dans les cinq jours suivant la divulgation publique de TalkTalk. Les arrestations ultérieures au cours des semaines suivantes ont identifié :

  • Matthew Hanley (alors 20 ans, Tamworth, Staffordshire) — reconnu coupable en octobre 2017 d'utilisation abusive d'ordinateur, condamné à 12 mois.
  • Connor Allsopp (alors 19 ans, Tamworth, Staffordshire) — reconnu coupable en octobre 2017, condamné à 8 mois.
  • Aaron Sterritt (alors 15 ans, comté d'Antrim, Irlande du Nord) — condamné en mai 2018 à une mesure de travail d'intérêt général de 12 mois en raison de son jeune âge.
  • Daniel Kelley (alors 16 ans, Llanelli, pays de Galles) — poursuivi séparément pour chantage et une série d'infractions supplémentaires ; condamné à 4 ans de détention en 2019.

L'affaire est devenue une référence publique très médiatisée en matière de cybercriminalité de jeunes délinquants. Les adolescents avaient utilisé des outils librement disponibles — des scanners automatisés d'injection SQL — et exploité une vulnérabilité fondamentale qui aurait dû être systématiquement détectée et corrigée. Le décalage entre une capacité technique triviale et un impact catastrophique sur l'entreprise est devenu la leçon de politique publique.

Sanction de l'ICO

En octobre 2016, le bureau du commissaire à l'information du Royaume-Uni a infligé une amende de 400 000 £ — la plus lourde sanction de l'ICO à l'époque. Les conclusions de l'ICO :

  • TalkTalk n'avait pas mis en œuvre de mesures de sécurité basiques contre l'injection SQL — un vecteur d'attaque publiquement connu depuis plus d'une décennie à l'époque.
  • TalkTalk ignorait que l'application vulnérable existait sur son périmètre ; elle était héritée d'un rachat de Tiscali des années auparavant et n'avait pas été incluse dans les audits de sécurité standard de TalkTalk.
  • Les estimations de la portée de la violation par TalkTalk lors de la divulgation publique avaient été confuses et contradictoires — initialement surestimées, puis nettement révisées. L'ICO a cité cela comme preuve d'une préparation inadéquate à la réponse à incident.

L'amende de 400 000 £ correspondait au maximum statutaire dont disposait l'ICO en vertu du droit antérieur au RGPD. Sous le RGPD (entré en vigueur six mois plus tard), une violation équivalente aurait pu entraîner une sanction de l'ordre de dizaines de millions de livres en tant que pourcentage du chiffre d'affaires mondial.

Impact

  • 156 959 clients dont les données personnelles ont été exposées ; 15 656 dont les coordonnées bancaires ont été exposées.
  • 60 millions de livres de coût direct pour TalkTalk, incluant les crédits clients, la remédiation et l'impact sur la marque.
  • Environ 101 000 clients ont quitté TalkTalk dans l'année suivant la violation — soit environ 1 client sur 40 de la base clientèle totale de TalkTalk.
  • La PDG Dido Harding a surmonté l'incident immédiat mais a fini par partir ; ses communications publiques ont été largement critiquées à l'époque pour leur confusion quant à la portée.

Pourquoi c'est important

TalkTalk 2015 est le cas canonique du risque lié aux applications héritées dans des infrastructures acquises. Il a établi :

  • Que l'injection SQL — une vulnérabilité bien comprise et bénéficiant de décennies de recommandations d'atténuation — reste opérationnellement exploitable dans les grandes entreprises, en particulier dans les applications héritées acquises lors de rachats.
  • Que le balayage automatisé par des attaquants peu sophistiqués est opérationnellement suffisant face à une infrastructure exposée au public mal défendue. Les adolescents de TalkTalk n'étaient ni des acteurs étatiques ni des criminels organisés.
  • Que la communication sur la portée de la violation au cours des 48 premières heures est critique sur le plan réputationnel. Le cadrage initial de TalkTalk évoquant « l'ensemble des 4 millions de clients » — ensuite révisé à 157 000 — est devenu un cas d'école négatif.
  • Que la capacité de répression antérieure au RGPD était inadéquate. L'amende maximale de 400 000 £ a été largement citée lors du débat de transposition du RGPD au Royaume-Uni comme preuve que l'ICO avait besoin de pouvoirs de répression matériellement plus étendus. La loi britannique de 2018 sur la protection des données, alignée sur le RGPD, a considérablement élargi le pouvoir de sanction de l'ICO — TalkTalk constituant un cas déterminant.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
90.0M
USD · 90 000 000 $US
Rançon demandée
$100.0K
Rançon payée
Refusée
  • Perte d’exploitation$60.0M
  • Remédiation$25.0M
  • Amendes & règlements$500.0K

Chronologie

  1. Un trafic de déni de service distribué dirigé contre l'infrastructure du portail client de TalkTalk fournit une couverture à un sondage par injection SQL mené simultanément.

  2. TalkTalk révèle publiquement « une cyberattaque importante et soutenue » sur son site web. La portée initiale est incertaine — TalkTalk suggère d'abord que « l'ensemble des quatre millions de clients » pourrait être touché avant de réviser ce chiffre à la baisse.

  3. TalkTalk reçoit une demande de rançon de 80 000 £ en bitcoins. La demande n'est pas honorée ; TalkTalk la signale aux forces de l'ordre.

  4. La Metropolitan Police arrête un jeune de 15 ans en Irlande du Nord ; les arrestations ultérieures, au cours des semaines suivantes, portent à quatre le nombre d'adolescents britanniques âgés de 15 à 20 ans.

  5. TalkTalk confirme la portée révisée : 156 959 clients ont eu leurs données personnelles consultées ; 15 656 ont eu leurs coordonnées bancaires exposées.

  6. Le commissaire à l'information britannique inflige à TalkTalk une amende de 400 000 £ — la plus lourde sanction de l'ICO à l'époque. L'ICO conclut à une vulnérabilité basique d'injection SQL et à des contrôles d'accès inadéquats.

  7. Matthew Hanley (22 ans) et Connor Allsopp (21 ans) sont condamnés respectivement à 12 mois et 8 mois. Daniel Kelley (22 ans) sera ultérieurement condamné à 4 ans en 2019 pour chantage et infractions à la législation sur l'utilisation abusive des ordinateurs.

  8. Aaron Sterritt, un adolescent nord-irlandais âgé de 15 ans au moment de l'attaque, est condamné à une mesure de travail d'intérêt général de 12 mois.

Sources

  1. ico.org.ukhttps://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2016/10/talktalk-gets-record-400-000-fine-for-failing-to-prevent-october-2015-attack/
  2. bbc.comhttps://www.bbc.com/news/business-34611857
  3. theguardian.comhttps://www.theguardian.com/business/2017/oct/04/two-men-jailed-talktalk-cyber-attack

Incidents liés

Exploitation de vulnérabilitéRésolu

Violation de données chez Virgin Mobile Polska

Une partie non autorisée a exploité une faille dans l'application d'enregistrement prépayé de Virgin Mobile Polska pour accéder aux données personnelles de plus de 114 000 abonnés, dont les numéros d'identité PESEL et les données de carte d'identité. L'autorité polonaise de protection des données a infligé à l'opérateur une amende de près de 2 millions de PLN pour des tests de sécurité insuffisants.

Victim
Virgin Mobile Polska
Records
115.0K