Orange a reconnu avoir été victime d'un piratage informatique à la mi-janvier, entraînant le vol de certaines données personnelles. L'opérateur indique que 3 % de sa clientèle est concernée, mais que les informations bancaires ne sont pas directement compromises. Cette affaire est une mauvaise nouvelle pour Orange, qui avait promis la sécurité des données personnelles lors de sa dernière conférence.

C'est un incident qui est passé inaperçu il y a deux semaines, mais dont la gravité a finalement conduit Orange à prendre la parole. Dans un communiqué diffusé à chacun de ses clients, via la rubrique Mon compte, l'opérateur historique annonce avoir été la victime d'une attaque informatique qui s'est terminée par le vol "d'un nombre limité de données personnelles" concernant le titulaire de l'abonnement ou son foyer.

"Il peut s'agir des noms, prénoms, adresse postale, adresse mail de contact, numéro de téléphone (fixe ou mobile) ou des informations que vous auriez pu déclarer (composition du foyer, nombre d'abonnements Orange ou concurrents, informations concernant vos préférences de contact)", écrit Orange, qui souligne toutefois que les mots de passe n'ont pas été dérobés. "Leur intégrité n'est pas mise en cause".

Contacté par PC Inpact, le directeur technique de l'opérateur, Laurent Benatar, a indiqué que des données bancaires ont été compromises, sans que cela  constitue une menace. C'est le cas du relevé d'identité bancaire.  Cependant, les assaillants n'ont obtenu qu'une version inexploitable du RIB, avec le remplacement de certains caractères par des astérisques. Le format complet est stocké ailleurs.

Laurent Benatar indique par ailleurs que moins de 3 % des clients d'Orange ont été touchés. Cependant, il s'agit d'une information imprécise : est-on en train de parler du nombre total de clients du groupe (232,5 millions au 30 septembre 2013), de la base française dans la téléphonie mobile (26,768 millions de clients), de celle dans le haut débit fixe (10,046 millions d’accès) ou de la somme des deux ?

Selon la signification de ce pourcentage, cela concerne entre 300 000 et un peu plus de 7 millions d'abonnés. Mais dans tous les cas, il s'agit d'un piratage considérable. Dès lors, il n'est guère étonnant que l'opérateur évoque plutôt un pourcentage, qui donne l'illusion d'un incident limité et qui est nettement moins spectaculaire qu'une donnée exprimée avec un nombre.

Le piratage que vient de subir Orange tombe en tout cas au mauvais moment. Quelques temps auparavant, le PDG assurait le spectacle lors de sa fameuse conférence "Le Show Hello". À cette occasion, le groupe avait annoncé des engagements en matière de vie privée, déclinés en quatre axes, dont l'un porte justement sur la sécurité des données personnelles des clients.

Évidemment, la sécurité absolue n'existe pas en informatique. Nous le savons d'autant plus que nous avons été nous-mêmes touchés par un problème similaire l'été dernier. Cependant, l'opérateur s'était engagé fort loin au cours de sa conférence, en promettant une sécurité qui ne pouvait pas être apportée ("nous vous garantissons la sécurité de vos données").

Cela étant, Orange précise que la faille exploitée par les agresseurs a été comblée. Une plainte a par ailleurs été déposée. Enfin, l'opérateur invite les clients à se montrer particulièrement circonspects "en cas de sollicitation douteuse" par téléphone, SMS ou courrier électronique. Les données dérobées pourraient en effet servir à du hameçonnage, et entraîner des conséquences plus funestes.

Partager sur les réseaux sociaux

Articles liés