Article original rédigé par : Bureau du Procureur Général de l’État de Washington.
Le Procureur Général Bob Ferguson a déposé aujourd’hui une action en justice pour la protection des consommateurs contre T-Mobile, accusant l’entreprise de ne pas avoir suffisamment sécurisé les informations personnelles sensibles de plus de 2 millions de résidents de Washington. Cette négligence a conduit à une vaste violation de données, mettant en danger les informations personnelles de ces consommateurs et les rendant vulnérables à la fraude et au vol d’identité.
Le procès, déposé devant le tribunal de première instance du comté de King, soutient que T-Mobile était au courant, depuis des années, de certaines vulnérabilités en matière de cybersécurité sans entreprendre les actions nécessaires pour y remédier. De plus, T-Mobile aurait trompé les consommateurs en leur faisant croire que l’entreprise mettait un point d’honneur à protéger les données personnelles qu’elle collectait. L’action en justice de Ferguson allègue également que T-Mobile a échoué à notifier correctement les résidents de Washington concernés par cette violation de données, minimisant son ampleur et envoyant des notifications qui n’informaient pas pleinement sur toutes les informations compromises.
En résumé, l’action en justice affirme que cette violation massive de données est le résultat direct de l’absence de responsabilité de T-Mobile et de son manque d’adhérence aux normes de cybersécurité de l’industrie.
“Cette violation de données significative était entièrement évitable,” a déclaré Ferguson. “T-Mobile a eu des années pour corriger des vulnérabilités clés dans ses systèmes de cybersécurité, et il a échoué.”
En août 2021, T-Mobile a découvert qu’un hacker avait accédé à son réseau interne, exposant les informations personnelles de plus de 79 millions de consommateurs à travers le pays, dont 2 025 634 résidents de Washington. Parmi ceux-ci, 183 406 consommateurs de Washington ont vu leurs numéros de sécurité sociale compromis. D’autres données exposées incluent des numéros de téléphone, des noms, des adresses physiques ainsi que des informations sur les permis de conduire.
La violation de données a débuté en mars 2021 et a perduré jusqu’au 12 août 2021. En raison d’un manque de surveillance de sécurité adéquate, d’après le procès, T-Mobile ne s’est rendu compte de la violation qu’après qu’une source externe anonyme a signalé que les données de ses clients étaient mises en vente sur le dark web.
Lorsque T-Mobile a été informé de la violation, les notifications envoyées aux consommateurs concernés étaient insuffisantes à plusieurs égards. Les clients actuels ont reçu des messages textes très brefs, omettant des informations cruciales et légalement nécessaires, et dans certains cas, induisant en erreur sur la gravité de la violation. De plus, les clients dont les numéros de sécurité sociale avaient été exposés n’ont reçu aucune information concernant cette exposition.
En revanche, les clients dont les numéros de sécurité sociale n’avaient pas été compromis ont été informés de cette situation dans les messages qu’ils ont reçus de l’entreprise.
Parce que les notifications de T-Mobile omettaient des informations essentielles et minimisaient la gravité de la situation, cela a impacté la capacité des consommateurs à évaluer correctement leur risque de vol d’identité ou de fraude.
Depuis des années avant août 2021, T-Mobile ne respectait pas les normes de l’industrie en matière de cybersécurité et était au courant de ces vulnérabilités. Cela incluait des processus insuffisants pour identifier et traiter les menaces de sécurité ainsi qu’un manque de supervision systémique. Dans certains cas, T-Mobile utilisait des mots de passe évidents pour protéger des comptes ayant accès à des informations personnelles sensibles des clients. Le piratage de 2021 a été facilité, en partie, par le fait que le hacker a deviné des identifiants évidents pour accéder aux bases de données internes de T-Mobile.
Avant 2021, T-Mobile avait déjà été la cible de nombreuses cyberattaques. En fait, des dépôts auprès de la Commission des valeurs mobilières des États-Unis de 2020 — un an avant la violation de données au cœur du procès de Ferguson — montrent que T-Mobile savait qu’il continuerait à être une cible.
Malgré la connaissance de ces problèmes de cybersécurité et l’absence d’actions pour y remédier pendant des années, T-Mobile a continué à induire en erreur ses clients en affichant publiquement sur son site web : “Nous sommes là pour vous. Nous travaillons toujours à vous protéger, vous et votre famille, et à garder vos données en sécurité.”
L’action en justice de Ferguson soutient que ces manquements violent la loi sur la protection des consommateurs de Washington. Elle allègue que la violation de données de 2021 était le résultat direct du manque de responsabilité de T-Mobile.
Cette action cherche des sanctions civiles ainsi que des réparations pour les résidents de Washington concernés. Elle vise aussi à instaurer des mesures correctives pour améliorer les politiques et procédures de cybersécurité de T-Mobile, ainsi qu’à renforcer la transparence dans la communication sur la cybersécurité avec ses clients.
L’affaire est traitée par les avocats assistants Mina Shahin, Kathleen Box, Bret Finkelstein, Gardner Reed, le parajuriste Matt Hehemann, l’assistant juridique Luis Oida et l’enquêteur Steuart Markley.
Bon à savoir
- La violation de données a été décelée grâce à une alerte d’une source externe, signalant que les données étaient en vente sur le dark web.
- T-Mobile avait déjà connu plusieurs attaques informatiques avant celle majeure de 2021.
- Les manquements en matière de notification et de communication ont des conséquences directes sur la perception des consommateurs face aux risques de fraude.
Cette situation soulève des questions cruciales sur la façon dont les entreprises gèrent la sécurité des données sensibles. Dans un monde de plus en plus numérisé, la protection de la vie privée des consommateurs devrait-elle être une priorité absolue, et quelles mesures devraient être mises en place pour garantir que des incidents similaires ne se reproduisent pas ? C’est un débat qui mérite une attention particulière dans le contexte actuel.
Cette affaire soulève des questions importantes sur la sécurité des données. Nous devons vraiment exiger plus des entreprises pour protéger notre vie privée !
T-Mobile aurait dû être plus vigilant avec la sécurité des données. La protection des informations personnelles est essentielle dans notre société numérisée.
Sandrine, cet article met en lumière une question cruciale sur la sécurité des données. Cela nous rappelle l’importance de rester vigilants et de protéger nos informations personnelles.
Il est temps que les entreprises prennent au sérieux la sécurité des données. Les consommateurs méritent une meilleure protection et une communication claire en cas de violation.