Vol de données persos chez Orange : plus d’un million de clients concernés

La nouvelle affaire de vol de données personnelles de clients chez Orange prend une dimension plus importante que prévu. A nouveau victime d’une attaque informatique sur ses serveurs, l’opérateur doit reconnaître que 1,3 million de clients en France sont concernés.

Dans un message d’information en date du 5 mai, l’opérateur explique le contexte : « Le 18 avril, Orange a constaté un accès illégitime sur une plateforme technique d’envoi de courriers électroniques et de SMS qu’elle utilise pour ses campagnes commerciales. Cet accès a entraîné la copie d’un nombre limité de données personnelles concernant des clients et des prospects. »

Selon Orange, les données nominatives des personnes concernées : a minima nom et prénom. Sinon, d’autres données ont pu s’évaporer si les champs suivants ont été remplis : adresse mail, numéro de mobile, numéro de téléphone fixe, nom de l’opérateur mobile et Internet et date de naissance.

Orange prévient : « Les données ainsi récupérées pourraient être utilisées pour vous contacter par courrier électronique, par SMS ou par téléphone, notamment à des fins de phishing. »

Un fléau du Web régulièrement pointé du doigt par des éditeurs de solutions de sécurité IT comme Kaspersky. Selon la gendarmerie, le phishing s’appuie sur un mail qui usurpe l’identité d’une entreprise (banque, site marchand, etc.) et qui invite les internautes à se connecter en ligne par le biais d’un lien hypertexte. Il leurs est demandé de mettre à jour des informations les concernant sur un site Web factice, copie conforme du site original, en prétextant par exemple une mise à jour du service, une intervention du support technique, etc.

Sur son message d’avertissement, Orange déclare qu’elle a informé tous les clients concernés. Toutes « les actions nécessaires ont été mises en œuvre afin de corriger les dysfonctionnements techniques et empêcher tout nouvel accès illégitime à ces données », précise l’opérateur.  « Plus que jamais, pour Orange, la sécurité des données est une priorité. Dans un contexte mondial sensible concernant cette question, Orange poursuit ses efforts afin de prévenir ce type de risque. »

A travers un porte-parole, Orange justifie le délai de communication entre la découverte de l’intrusion (18 avril) et sa divulgation (5 mai) : il était nécessaire au préalable de « quantifier le vol de données, verrouiller le réseau technique, s’assurer que la faille n’existe plus et dédoublonner les listes qui contenaient souvent plusieurs fois les mêmes noms. »

Vol de données persos Orange : un précédent en février

Malgré la notion de « vol d’un nombre limité de données personnelles » retenue par Orange, la polémique risque de prendre de l’ampleur. Malgré une certaine volonté de transparence de la part de l’opérateur (avec des explications fournies y compris sur les réseaux sociaux comme Facebook), c’est la deuxième attaque d’une ampleur non négligeable en moins de trois mois.

En février, 800 000 clients avaient déjà été touchés par une faille dans la sécurité IT associée à la messagerie Orange, aboutissant là aussi à une propagation incontrôlée de données personnelles sur le Web. Une enquête avait été ouverte par la Direction centrale du renseignement intérieur (DCRI). Ce sera à nouveau probablement le cas.

Avec cette nouvelle poussée d’adrénaline en matière de violation de données personnelles, il ne serait guère étonnant qu’Axelle Lemaire, nouvelle secrétaire d’Etat au numérique du gouvernement Valls (qui a justement dans ses prérogatives la protection des données) et la CNIL montent au créneau pour demander des mesures de renforcement de la sécurité IT chez les opérateurs de communication électronique.

Quiz : Connaissez-vous la CNIL ?

(Credit photo : Shutterstock.com –  Copyright: Lisa S.)