Telus enquête sur une violation de données majeure : ShinyHunters revendique le vol de 700 téraoctets

Le paysage canadien des télécommunications est confronté à un défi de sécurité majeur alors que Telus, l'un des plus grands fournisseurs du pays, confirme faire l'objet d'une enquête sur un incident de cybersécurité. La violation implique un accès non autorisé aux systèmes internes, ce qui suscite des inquiétudes quant à la confidentialité des données de l'entreprise et des informations sur les clients. Bien que l'entreprise maintienne que ses services de base restent opérationnels, l'ampleur du vol présumé a provoqué une onde de choc dans l'industrie technologique.

Selon un porte-parole de l'entreprise, Telus travaille actuellement aux côtés d'experts tiers en cyberforensique pour déterminer l'étendue complète de l'intrusion. Les organismes d'application de la loi ont également été sollicités alors que la firme entame le processus ardu de notification des parties potentiellement touchées. Malgré la violation, Telus souligne qu'il n'y a eu aucune interruption de la connectivité des clients ou des opérations commerciales, suggérant que les attaquants ont ciblé le stockage de données plutôt que les systèmes de contrôle des infrastructures critiques.

L'ampleur de l'exfiltration

Le groupe de pirates informatiques connu sous le nom de ShinyHunters a revendiqué la responsabilité de l'attaque. Dans une communication avec Reuters, le groupe a affirmé avoir réussi à exfiltrer au moins 700 téraoctets de données des systèmes de Telus. Pour mettre ce chiffre en perspective, 700 téraoctets équivalent environ à 350 000 heures de vidéo haute définition ou à des dizaines de milliards de pages de documents texte.

Si ces affirmations sont vérifiées, cela se classerait parmi les plus importantes violations de données de l'histoire du Canada. Bien que les pirates exagèrent souvent le volume de données volées pour accroître leur influence lors des tentatives d'extorsion, les échantillons fournis aux journalistes suggèrent un niveau d'accès profond et varié. Les échantillons divulgués contiendraient du code source, qui agit comme le plan numérique des logiciels de l'entreprise, ainsi que des informations sensibles sur les employés.

Quel type de données a été compromis ?

Bien que Telus n'ait pas encore officiellement détaillé les catégories spécifiques de données concernées, les preuves partagées par les acteurs malveillants brossent un tableau inquiétant. Le cache volé semble contenir des informations relatives à au moins deux douzaines d'entreprises qui utilisent les services commerciaux de Telus.

Les points de données clés identifiés dans les échantillons comprennent :

• Renseignements personnels identifiables (PII) : Noms, coordonnées et potentiellement numéros d'assurance sociale d'employés ou de clients.
• Données et enregistrements d'appels : Métadonnées concernant les communications et fichiers audio réels issus d'interactions professionnelles.
• Informations sur les vérifications d'antécédents du FBI : Documents de filtrage hautement sensibles qui pourraient avoir des implications de sécurité importantes.
• Code source propriétaire : Bases de code internes de diverses divisions commerciales, ce qui pourrait permettre à de futurs attaquants de trouver des vulnérabilités plus facilement.

Pensez au code source comme aux plans architecturaux d'un coffre-fort de haute sécurité. Si un voleur dérobe l'or, c'est une perte ; s'il vole les plans, il sait exactement où se trouvent les faiblesses structurelles pour sa prochaine tentative.

Qui sont les ShinyHunters ?

ShinyHunters est une entité bien connue dans le monde de la cybercriminalité. Le groupe s'est fait connaître vers 2020 et a l'habitude de cibler des entreprises de haut profil. Ils opèrent généralement en accédant à des référentiels cloud ou à des environnements de développement (comme GitHub ou GitLab), puis en retenant les données contre rançon ou en les vendant sur des forums du dark web.

Contrairement à certains groupes qui se concentrent sur le chiffrement de fichiers avec des ransomwares pour paralyser les opérations, ShinyHunters privilégie souvent le vol de données et l'extorsion. Leur implication suggère que le motif principal ici est le gain financier par la vente de propriété intellectuelle et de dossiers personnels sensibles.

L'effet d'entraînement B2B

L'un des aspects les plus préoccupants de cette violation est l'impact sur les clients interentreprises (B2B) de Telus. En tant que fournisseur de services de télécommunications et de TI intégrés, Telus gère les données de nombreuses autres organisations. Lorsqu'un fournisseur de services principal est touché, chaque client de son écosystème fait face à un risque secondaire.

La mention d'informations sur les vérifications d'antécédents du FBI suggère que la violation a pu toucher des divisions impliquées dans des habilitations de sécurité de haut niveau ou des contrats gouvernementaux. Cela élève l'incident d'une fuite de données d'entreprise standard à une préoccupation potentielle de sécurité nationale, expliquant l'implication immédiate des forces de l'ordre fédérales.

Mesures pratiques pour les personnes concernées

Bien que l'enquête en soit à ses débuts, il existe des mesures immédiates que les clients et les employés de Telus devraient prendre pour atténuer leurs risques. La cybersécurité est rarement un effort solitaire ; elle nécessite une hygiène proactive de la part de toutes les personnes impliquées.

1. Surveiller le hameçonnage : Soyez extrêmement vigilant face aux courriels ou aux messages texte prétendant provenir de Telus ou d'institutions financières. Les attaquants utilisent souvent les PII volées pour concevoir des messages de « harponnage » (spear-phishing) très convaincants.
2. Mettre à jour les identifiants : Même si Telus n'a pas confirmé de fuite de mots de passe, il est recommandé de changer les mots de passe de vos comptes et de vous assurer que l'authentification multifacteur (MFA) est active.
3. Examiner les relevés financiers : Si vous êtes un client commercial de Telus, examinez votre facturation récente et l'activité de votre compte pour toute anomalie.
4. Auditer l'accès interne : Pour les entreprises qui partagent du code source ou des systèmes intégrés avec Telus, la réalisation d'un audit de sécurité interne est essentielle pour s'assurer que la violation ne s'est pas propagée latéralement dans votre propre réseau.

Perspectives d'avenir

Telus a un long chemin à parcourir en termes de remédiation et de gestion de sa réputation. La société a déclaré qu'elle informerait les clients concernés « de la manière appropriée », mais la portée complète de la liste de notification « appropriée » pourrait s'étendre à mesure que les équipes forensiques analysent les couches de l'intrusion.

Cet incident rappelle brutalement que même les géants des télécommunications les plus robustes ne sont pas à l'abri d'acteurs malveillants sophistiqués. À mesure que l'enquête se poursuit, la communauté technologique surveillera de près comment Telus renforce son périmètre et quelles mesures elle prend pour protéger la vaste quantité de données qu'elle détient au nom de millions d'utilisateurs.

Sources :

• Reuters: Telus Investigating Potential Data Breach
• Telus Corporate Communications: Official Statement on Cybersecurity Incident
• Cybersecurity & Infrastructure Security Agency (CISA): Threat Actor Profiles
• BleepingComputer: Analysis of ShinyHunters Tactics