C’est une information importante, selon SFR, et elle l’est : l’opérateur français vient de signaler un raté dans la sécurité de ses systèmes d’information, qui a de toute évidence débouché sur une extraction de données personnelles. Une information bancaire est aussi exposée, l’IBAN, ainsi que des détails techniques liés à certains forfaits.
Quelles informations en possession de SFR ont fuité ?
D’après le mail que l’opérateur envoie aux victimes qui ont été identifiées, le piratage a exposé des éléments suivants :
- le prénom et le nom ;
- le numéro de téléphone ;
- l’adresse électronique ;
- l’adresse postale lors de la commande (et de livraison, si celle-ci est différente) ;
Il s’agit de données que l’on retrouve très régulièrement quand des fuites ont lieu. Ensuite, les informations compromises varient en fonction du type d’incident. Dans le cas de SFR, il s’avère que c’est un « outil de gestion de commandes de ses clients » qui a été victime d’un accès frauduleux, et cela depuis l’extérieur.
On trouve donc aussi :
- des données contractuelles (offre souscrite, contenu de la commande) ;
- Le numéro d’identification du terminal (en cas de commande d’un mobile) ;
- et le numéro d’identification de la carte SIM (idem).
L’opérateur reconnait aussi que l’IBAN (International Bank Account Number) a été exposé. Ce numéro permet notamment d’effectuer des virements et de mettre en place des prélèvements automatiques. Il n’est étonnant que SFR y ait accès ici, si le piratage a touché une gestion de commandes, pour être en mesure de prélever chaque mois le montant du forfait.
Quels sont les abonnés victimes du piratage de SFR ?
Avec U-Cyber 360°, la société française Mailinblack vous permet de protéger votre organisation et d’éduquer vos collaborateurs à la cybersécurité.
Du gestionnaire de mots de passe à la sécurisation des e-mails en passant par la formation continue ou les simulations d’attaques, cette solution regroupe tous les outils pour prévenir les risques cyber.
L’ampleur de l’incident n’est pas encore fixée avec la plus grande précision. Le mail est signé de RED by SFR, qui est l’une des marques de l’opérateur, ce qui semble écarter celles et ceux qui ont souscrit un abonnement avec un autre type d’offre. BFM évoque « plusieurs dizaines de milliers de dossiers de clients », mais SFR n’a pas livré de chiffre définitif.
Si vous avez reçu un courrier électronique de l’opérateur, vos coordonnées et votre IBAN sont vraisemblablement exposés. Un numéro de téléphone (0805 80 49 49), gratuit et joignable du lundi au vendredi de 9h à 18h, est mis à disposition par l’opérateur. Il s’adresse en particulier à celles et ceux qui constateraient un incident ultérieur.
Quels sont les risques (piratage, phishing, etc.) ?
Avec ces informations, la principale menace reste la classique opération de phishing (hameçonnage). Un pirate se fait passer pour SFR et exploite tous ces éléments pour crédibiliser sa supercherie — cela donnera l’illusion que c’est bien l’opérateur qui vous contacte, puisqu’il connaît votre identité, votre forfait et votre téléphone/carte SIM.
Ces éléments peuvent également servir pour se faire passer pour une autre société, éventuellement en croisant avec d’autres informations sur vous qui ont pu déjà se retrouver dans la nature. Après tout, ces incidents sur les données personnelles sont récurrents. Encore récemment, on a rapporté des soucis chez Boulanger, Cultura ou encore Truffaut.
L’IBAN revêt un caractère un peu plus sensible, car il est lié à un compte en banque — le vôtre. Il faut savoir qu’un IBAN volé ne permet ni de pirater votre compte, ni de vous dérober de l’argent. « La simple possession de ces informations ne vaut pas une autorisation de prélèvement SEPA », indiquait un juriste à l’UFC-Que Choisir au Parisien.
Cependant, il y a la possibilité de s’en servir pour faire un paiement par prélèvement bancaire dans une boutique en ligne. « Le seul risque de fraude qui pourrait exister est très isolé. Il consisterait à falsifier un titre interbancaire de paiement (TIP) en y inscrivant vos coordonnées bancaires », ajoutait-il.
Dernier risque : ces informations peuvent aussi servir dans une tentative d’usurpation d’identité.
Que faire pour se protéger ?
Il n’est pas nécessaire de changer de mot de passe. SFR assure que le mot de passe n’est pas concerné. Éventuellement, saisissez cette occasion pour interroger vos pratiques de cybersécurité : est-ce que le mot de passe SFR n’est pas utilisé ailleurs ? Est-il solide ? Avez-vous un gestionnaire de mots de passe ? Et la double authentification ?
La vigilance devra en revanche être plus forte sur d’éventuelles sollicitations ultérieures se faisant passer pour SFR. Une prudence qu’il faudra garder, car les tentatives de phishing ne viendront peut-être pas immédiatement, mais dans plusieurs semaines, mois ou années. Idem pour les SMS : si on vous dit de faire quelque chose, passez par le site web officiel.
Quant à la question de l’IBAN, une même attention doit être portée sur les mouvements survenant sur votre compte en banque, cela même si le risque causé par un IBAN se trouvant dans la nature est à nuancer. Cela aurait été plus grave si cela avait été les numéros de votre carte bancaire. Par ailleurs, si un incident a lieu, vous aurez de l’aide.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.