Orange a annoncé avoir été une nouvelle fois victime d'une intrusion informatique qui s'est soldée par le vol d'un certain nombre de données personnelles. Le fournisseur d'accès à Internet affirme avoir pris contact avec les clients concernés afin de les prémunir contre la moindre campagne de phishing.

C'est un nouvel incident qui tombe au plus mal pour Orange, lui qui a fait du respect de la vie privée de ses clients et de la protection de leurs données personnelles son nouveau cheval de bataille pour vendre ses services en ligne. En effet, après une première intrusion survenue mi-janvier, l'opérateur français a reconnu avoir été victime d'un nouvel accès illicite en avril.

Le fournisseur d'accès à Internet explique, via une mise à jour publiée dans la rubrique assistance de son site, que les intrus sont passés par une "plateforme technique d'envoi de courriers électroniques et de SMS", qui est utilisée pour les campagnes commerciales du groupe, pour dérober un certain nombre d'informations personnelles appartenant à des abonnés d'Orange.

Le nombre exact de clients touchés par ce piratage n'est pas connu, le FAI évoquant seulement une "copie d'un nombre limité de données personnelles concernant des clients et des prospects". À lire l'opérateur, cela ne toucherait donc qu'un pourcentage réduit d'individus… Mais dans le mesure où le FAI compte des millions d'abonnés en France, la quantité réelle de victimes potentielles pourrait être assez élevée.

D'après Orange, ont été dérobés au minimum les nom et prénom des usagers. Ensuite, si les champs concernés ont été remplis, l'adresse de courrier électronique, le numéro de mobile, le numéro de téléphone fixe, l'opérateur mobile et, le fournisseur d'accès à Internet et la date de naissance ont pu aussi être récupérés par les intrus.

Le hameçonnage, principal risque

Comme toujours avec ce genre d'affaires, il est très probable que ces informations vont être utilisées dans le cadre d'une campagne d'hameçonnage, afin de faire croire aux victimes qu'elles sont contactées par leur fournisseur d'accès à Internet légitime (via mail, appel téléphonique ou SMS) et leur soutirer ensuite davantage de données personnelles et des mots de passe.

Évidemment, il ne faut en aucun cas donner suite à ces demandes. Orange signale d'ailleurs avoir "informé l'ensemble des personnes concernées de l'existence et de la résolution de ce fait" et mis en œuvre les "actions nécessaires […] afin de corriger les dysfonctionnements techniques et empêcher tout nouvel accès illégitime à ces données".

Suite au premier piratage survenu en début d'année, Orange a porté plainte et l'enquête a été confiée à la Direction Générale de la Sécurité Intérieure (ex-DCRI). De son côté, la Commission nationale de l'informatique et des libertés avait organisé une rencontre avec les FAI pour leur rappeler les dispositions législatives qu'ils sont tenus de respecter en cas d'incident.

Partager sur les réseaux sociaux

Articles liés