L'opérateur TalkTalk a-t-il été piraté par un garçon de 15 ans?

Plus l'enquête avance, plus elle génère de sérieux doutes sur le niveau de sécurité de TalkTalk. Vendredi dernier, le fournisseur d'accès britannique avait annoncé que son site avait été piraté et que les données personnelles de ses quatre millions de clients pourraient avoir été volées, y compris des données bancaires. Lundi 26 octobre, dans l'après-midi, la police d'Irlande du Nord a mis la main sur un premier suspect lié à cette affaire: un garçon de 15 ans. Il a été mis en garde à vue, puis libéré sous caution aujourd'hui. "L'enquête continue", indique la police dans un communiqué, sans plus de précision.

L'arrestation d'un présumé pirate aussi jeune semble signaler que l'attaque était loin d'être sophistiquée. D'autres indices vont d'ailleurs dans le même sens. D'après le site KrebsOnSecurity, qui s'appuie sur une source "proche de l'enquête", le vol de données s'est appuyé sur une attaque par "injection SQL". Ce type d'attaque consiste à profiter d'une mauvaise configuration d'une base de données accessible en ligne pour en extraire des informations au moyen de requêtes web spéciales. Ce n'est pas une attaque très difficile à réaliser. Selon KrebsOnSecurity, le pirate aurait ainsi réussi à extraire les données d'environ 400.000 personnes. Puis il aurait mis le site web de TalkTalk à genoux par une attaque par déni de service distribué, histoire de faire diversion. Ce qui n'est pas non plus un exploit réservé à des hackers de haut vol.

Une stratégie de communication à revoir

La facilité avec laquelle le présumé pirate a pu ravir les données personnelles détenues par TalkTalk n'est pas de nature à rassurer ses abonnés. Pas plus que les multiples déclarations de sa patronne, Dido Harding. Vendredi dernier, elle a été interrogée par la BBC, qui lui demandait si ces données étaient stockées de manière chiffrée ou non. Elle avait bêtement répondu: "Je ne sais pas." Deux jours plus tard, interviewée par le Sunday Times, elle confirmait que les données n'étaient pas totalement chiffrées, tout en soulignant que "ce n'est pas une obligation légale". Comme stratégie de communication de crise, on a vu mieux.

Lundi, enfin, elle confirmait auprès du Financial Times l'information de KrebsOnSecurity sur le déroulé de l'attaque, mais elle se plante dans la terminologie. Au lieu de dire "injection SQL", elle parle "d'injection séquentielle", faisant rire une bonne partie de la communauté des experts en sécurité. Une perte d'image et de crédibilité que son message vidéo adressé aux internautes ne permettra sans doute pas d'inverser.