Medibank, l'une des principales sociétés privées d'assurance santé du pays, a reconnu cette semaine que des pirates avaient pu accéder aux données personnelles de 9,7 millions d'assurés, anciens et actuels.
Ils ont ciblé des centaines de personnes traitées pour une addiction à la drogue, des infections sexuellement transmissibles ou des interruptions de grossesse.
Fin septembre, la société de télécommunications Optus avait elle aussi été victime d'une violation de données au cours de laquelle les données de 9,8 millions de personnes avaient été consultées.
Thomas Haines, expert en cybersécurité de l'Australian National University, estime que de nombreuses entreprises ont accumulé des données qu'elles n'auraient pas dû conserver.
"Il y a une citation célèbre: +les données sont le nouveau pétrole+. Si c'est le cas, "alors nous vivons à l'ère de la marée noire hebdomadaire", a-t-il commenté.
Le chercheur plaide pour "des incitations afin d'empêcher les entreprises de thésauriser des données dont elles n'ont pas besoin, ou de pénaliser ces entreprises en cas de grosses fuites".
"L'Europe l'a fait", a-t-il insisté.
En 2018, l'Union européenne a ainsi adopté des réformes en matière de protection de la vie privée qui limitent la façon dont les organisations collectent, utilisent et stockent les données personnelles.
Recherche de profit
Les protections relativement faibles de l'Australie contre le vol d'identité signifient qu'il est également plus facile d'exploiter les informations personnelles volées, a déclaré M. Haines.
"Tout ce dont ils ont besoin, c'est de connaître votre passeport, votre numéro de permis de conduire et quelques autres détails - et ils peuvent commencer à contracter des prêts à votre nom".
Les pays européens ont au contraire des exigences beaucoup plus strictes impliquant souvent un contact face à face, explique-t-il.
Dennis Desmond, ancien agent du FBI et de l'Agence américaine du renseignement militaire (DIA), estime que la plupart des pirates recherchent des données dans le but d'en tirer des profits.
"Les pirates à but lucratif s'attaquent aux données de santé, aux données d'identité et aux informations d'identification permettant d'accéder aux systèmes", a-t-il déclaré à l'AFP.
Pas toutes signalées
Les pirates de Medibank ont commencé cette semaine à divulguer les données volées sur un forum du dark web, après que la société a refusé de payer une rançon de 9,7 millions de dollars américains.
Dans le cas de l'attaque d'Optus, des noms, des dates de naissance et des numéros de passeport avaient été volés.
Le commissaire de la police fédérale australienne, Reece Kershaw, a imputé vendredi l'attaque de Medibank à des "cybercriminels" installés en Russie.
"Nos renseignements montrent un groupe de cybercriminels peu affiliés qui sont probablement responsables de violations antérieures importantes à travers le monde", a-t-il ajouté.
La ministre de l'Intérieur, Clare O'Neil, a reconnu vendredi que les mesures de protection du pays contre les attaques en ligne n'avaient pas toujours été à la hauteur.
Pour Jane Andrew, chercheuse en informatique à l'Université de Sydney, l'une des principales erreurs est de ne pas obliger les entreprises australiennes à signaler quand elles sont victimes de cyberattaques.
"Il y a des tas de violations de données qui se produisent tout le temps et dont nous n'entendons pas parler", a-t-elle déclaré à l'AFP.
"Les entreprises ont collecté des données parce qu'elles sont considérées comme précieuses, sans comprendre pleinement les risques potentiels", a-t-elle ajouté.
