L’OAIC, qui donne la priorité à la conformité volontaire mais peut infliger des amendes de 50 millions de dollars ou 30 % du chiffre d’affaires de l’entreprise, a donné à la multinationale jusqu’au 17 avril pour fournir des réponses « complètes et détaillées » sur ses systèmes et pratiques technologiques.
Le plaignant, dont l’identité a été masquée pour des raisons de confidentialité, a écrit au chien de garde pour lui faire part de neuf préoccupations, notamment le traitement de sa plainte par American Express et les risques potentiels pour la sécurité nationale posés par les comptes des députés.
Le président du comité mixte du renseignement et de la sécurité, Peter Khalil, et le ministre adjoint des Affaires étrangères, Tim Watts.Crédit: Alex Ellinghausen / Dominic Lorrimer
« Cette révélation alarmante met en évidence le besoin urgent de remédier aux vulnérabilités de sécurité intégrées aux processus et systèmes d’AMEX qui mettent en danger les responsables gouvernementaux et tous les autres titulaires de carte, compromettant potentiellement des informations sensibles et sapant notre sécurité nationale », a écrit le plaignant.
Lors des estimations du Sénat en février, le sénateur des Verts David Shoebridge a interrogé le secrétaire à l’Intérieur, Mike Pezzullo, sur les implications potentielles pour la sécurité nationale.
« Cet aveu extraordinaire fait par American Express, il s’avère, s’applique aux données des membres de la carte pour les personnes qui étaient à l’époque au dernier parlement … le ministre de la Défense, le ministre de la Santé [and] le ministre de l’Immigration », a déclaré Shoebridge en février.
« Est-ce que cet accès large à ce qui pourrait être des données hautement personnelles à ces hauts responsables de l’ancien parlement et voit les membres du parlement actuel voyager? »
En réponse à des questions sur préavis, le ministère de l’Intérieur a déclaré qu’il ne délivrait pas de cartes American Express à ses employés, mais qu’il acceptait les paiements de tiers utilisant American Express.
Le plaignant, qui demande des excuses à American Express, a envoyé de nombreuses lettres au ministre de l’Intérieur Clare O’Neil et au Premier ministre Anthony Albanese au sujet de son cas et des risques plus larges. Dans les réponses envoyées le mois dernier, les représentants du gouvernement ont déclaré que ses préoccupations seraient transmises à l’OAIC et à l’équipe chargée d’élaborer la stratégie de cybersécurité 2023-2030 du gouvernement.
« Merci d’avoir soulevé cette question auprès du ministre », ont déclaré les réponses.
Shoebridge a également envoyé une lettre à l’OAIC le 23 mars décrivant les « problèmes majeurs de confidentialité » avec les systèmes American Express, affirmant que la société dispose d’une « journalisation rudimentaire » des comptes financiers et d’aucune journalisation pour son système de voyage.
L’ancienne ministre de la Défense Linda Reynolds avait un compte chez American Express en 2022.Crédit: Alex Ellinghausen
« Cela ne semble pas être un accident, mais plutôt un échec de conception de longue date et nécessite une enquête approfondie », a écrit Shoebridge.
« Cela pose une menace importante pour la sécurité nationale, car les personnes travaillant pour le compte d’agences de renseignement étrangères peuvent absolument exploiter ce trou béant dans les systèmes d’AMEX et il se peut qu’il n’y ait aucune trace de cela. »
Dans une interview samedi, Shoebridge a déclaré avoir salué l’enquête de l’OAIC, mais a appelé à davantage de ressources et de pouvoirs pour le régulateur, qui, selon lui, était « submergé » par les enquêtes sur Optus.
« Le régulateur a désespérément besoin de suffisamment de financement pour faire son travail », a-t-il déclaré.
Shoebridge a appelé American Express à mettre à jour ses contrôles de sécurité des données et a déclaré que les parlementaires devraient être « au courant » des comptes avec l’entreprise. « C’est un fait connu que les menaces internes sont parmi les plus grands risques pour la sécurité des données et la base de données d’American Express est une invitation ouverte à ce type d’attaque. »
Le bureau d’O’Neil a refusé de commenter. L’OAIC a déclaré qu’elle ne pouvait pas commenter les enquêtes en cours.