AT&T conclut un accord de 177 millions de dollars pour les violations de données de 2019 et 2024

Le géant des télécommunications AT&T a accepté un règlement de 177 millions de dollars pour résoudre deux procès majeurs découlant de violations de données généralisées qui ont touché des millions de ses clients actuels et anciens en 2019 et 2024.

La juge de district américaine Ada Brown a approuvé les termes de l'accord le vendredi 20 juin. Bien que l'entreprise nie toute responsabilité dans ces « actes criminels », elle a opté pour cet accord afin d'éviter de longues batailles juridiques.

AT&T a confirmé ces deux incidents de sécurité des données l'année dernière. La première faille, apparue en 2019, a exposé les informations personnelles d'environ 7,6 millions de titulaires de compte actuels et de 65,4 millions d'anciens titulaires. Ces données , notamment leurs noms, numéros de sécurité sociale, dates de naissance et codes d'accès, ont été découvertes sur le dark web, une partie cachée d'Internet. Hackread.com avait précédemment couvert la confirmation par AT&T de cette faille affectant environ 73 millions d'utilisateurs, après des spéculations initiales.

Le deuxième incident, confirmé en juillet dernier , a débuté en avril 2024. Un pirate informatique a accédé aux enregistrements d'appels et de SMS de 2022 de la quasi-totalité des 109 millions de clients américains d'AT&T via son fournisseur de stockage cloud, Snowflake. AT&T a précisé qu'aucun nom n'était lié à ces enregistrements d'appels volés, et deux personnes ont été arrêtées en lien avec cette violation.

Ces deux incidents ont donné lieu à de multiples recours collectifs (actions en justice intentées par un groupe de personnes) alléguant une négligence de la part d'AT&T, qui n'aurait pas protégé correctement les données de ses clients. Le montant de l'indemnisation est divisé en deux parties : 149 millions de dollars pour une violation et 28 millions de dollars pour l'autre.

Les clients d'AT&T, actuels ou anciens, dont les données ont été exposées lors de l'une ou l'autre des violations peuvent prétendre à une indemnisation. Des indemnités plus élevées seront versées à ceux qui pourront prouver clairement les pertes directement causées par les fuites de données.

Pour la violation de 2019, les personnes concernées ayant subi des dommages avérés pourraient recevoir jusqu'à 5 000 $, tandis que pour la violation de Snowflake de 2024, le maximum est de 2 500 $. Après ces paiements prioritaires, le solde des 177 millions de dollars sera partagé entre les autres clients concernés, même ceux sans preuve concrète de préjudice.

Les notifications d'éligibilité devraient être envoyées par courriel ou par courrier entre le 4 août et le 17 octobre 2025. La procédure officielle de dépôt des réclamations débutera le 4 août 2025, avec une date limite fixée au 18 novembre 2025. Une audience finale concernant le règlement est prévue le 3 décembre 2025. En cas d'approbation, AT&T prévoit que les paiements aux clients commenceront début 2026.