IDCare, une organisation à but non lucratif qui aide les victimes de crimes sur Internet, a déclaré qu'en permettant aux régulateurs d'infliger plus facilement des amendes aux entreprises dont la sécurité des données est insuffisante et en ne criminalisant pas le paiement de rançons, l'Australie risquait d'alimenter involontairement une cybercriminalité.

Ce message figure dans un document non publié, examiné par Reuters, adressé au procureur général, qui s'efforce de mettre à jour la législation sur la protection de la vie privée à l'ère d'Internet, au moment même où le pays connaît une recrudescence des vols de données à grande échelle qui, selon le gouvernement, touchent presque toutes les familles.

"L'une des principales raisons pour lesquelles les gouvernements et les entreprises australiens sont de plus en plus souvent la cible d'attaques par ransomware [...] est que nous payons", a déclaré IDCare dans son rapport.

Le point de vue d'IDCare pèsera lourd dans la balance lors de la révision par le gouvernement des lois sur la protection de la vie privée, qui devrait faciliter l'imposition d'amendes ou la poursuite en justice des entreprises qui ne protègent pas les données de leurs clients, car IDCare est devenu l'un des groupes de référence de Canberra pour l'aide aux victimes de la cybercriminalité.

Canberra a porté l'amende maximale de 2,2 millions de dollars australiens à 50 millions de dollars australiens (34 millions de dollars) pour les entreprises qui ne parviennent pas à empêcher le vol de données après la première grande attaque d'octobre, au cours de laquelle quelque 10 millions de comptes de clients de la deuxième société de télécommunications, Optus, détenue par Singapore Telecommunications, ont été piratés.

Le gouvernement envisage maintenant de faciliter l'application de cette amende et de simplifier les poursuites judiciaires pour vol d'informations personnelles.

IDCare a déclaré qu'en brandissant la menace d'amendes massives, l'Australie forcerait les entreprises à choisir entre payer un million de dollars australiens, le coût habituel d'une demande de rançon, ou avertir les autorités et risquer une amende pouvant aller jusqu'à 50 millions de dollars australiens.

"En ce qui concerne les attaques de ransomware, l'Australie est ouverte aux affaires", a déclaré l'organisme.

IDCare a noté que l'Australie était le cinquième pays le plus ciblé par les voleurs de données en janvier 2023, ce qui est bien pire que d'autres pays par rapport à son économie et à sa population.

En l'absence de règles interdisant ou décourageant le paiement de rançons, il est peu probable que les groupes de ransomware ciblant nos organisations réduisent leurs activités.

Un porte-parole du procureur général, Mark Dreyfus, a déclaré que le gouvernement avait agi rapidement pour renforcer les sanctions à la suite de violations de données à grande échelle et qu'il examinerait 116 propositions dans le cadre d'une révision de la loi sur la protection de la vie privée avant de décider des mesures à prendre.

Le Bureau du commissaire australien à l'information a déclaré que son approche en matière de sanctions ou d'établissement de nouvelles règles serait "pragmatique, fondée sur des preuves et proportionnée".

LA DEMANDE S'ACCROÎT

Depuis que l'Australie a rendu obligatoire pour les entreprises de signaler les violations de données en 2018, la soumission d'IDCare a déclaré que la demande communautaire pour ses services avait grimpé en flèche.

Dans le mois qui a suivi le piratage d'Optus, le principal assureur santé Medibank Private Ltd a révélé que des millions de ses comptes avaient été compromis, avec des informations médicales potentiellement sensibles volées à des centaines de milliers de personnes.

Le mois dernier, un fournisseur de crédit à la consommation, Latitude Financial Group Holdings Ltd, a déclaré que des pirates informatiques avaient volé les données de quelque 14 millions de comptes clients sur une période de près de 20 ans.

Dans chaque cas, les autorités ont orienté les clients concernés vers IDCare, qui aide les victimes à fermer les comptes exposés, à notifier les fournisseurs de services concernés et à prévenir les pertes.

Afin d'endiguer l'afflux d'appels, IDCare met désormais en place des sites web consacrés aux "incidents majeurs" pour les personnes touchées par les violations, a déclaré Mark Rowley, son directeur commercial, à l'agence Reuters.

Elle prévoit également d'ouvrir un nouveau centre d'assistance à Sydney d'ici la mi-2023, en plus des centres de Brisbane, Perth et de la Nouvelle-Zélande, et de faire passer son personnel de 40 à 60 personnes.

"Il ne fait aucun doute que depuis octobre dernier, la vague d'incidents de données en cours s'est poursuivie, voire intensifiée, ce qui a vraiment nécessité une accélération des plans", a déclaré M. Rowley.

"Je ne pense pas que cette année, aucun d'entre nous n'ait prévu des événements d'une telle ampleur en Australie.

(1 $ = 1,4806 dollar australien)