C'est un incident qui est passé inaperçu il y a deux semaines, mais dont la gravité a finalement conduit Orange à prendre la parole. Dans un communiqué diffusé à chacun de ses clients, via la rubrique Mon compte, l'opérateur historique annonce avoir été la victime d'une attaque informatique qui s'est terminée par le vol "d'un nombre limité de données personnelles" concernant le titulaire de l'abonnement ou son foyer.
"Il peut s'agir des noms, prénoms, adresse postale, adresse mail de contact, numéro de téléphone (fixe ou mobile) ou des informations que vous auriez pu déclarer (composition du foyer, nombre d'abonnements Orange ou concurrents, informations concernant vos préférences de contact)", écrit Orange, qui souligne toutefois que les mots de passe n'ont pas été dérobés. "Leur intégrité n'est pas mise en cause".
Contacté par PC Inpact, le directeur technique de l'opérateur, Laurent Benatar, a indiqué que des données bancaires ont été compromises, sans que cela constitue une menace. C'est le cas du relevé d'identité bancaire. Cependant, les assaillants n'ont obtenu qu'une version inexploitable du RIB, avec le remplacement de certains caractères par des astérisques. Le format complet est stocké ailleurs.
Laurent Benatar indique par ailleurs que moins de 3 % des clients d'Orange ont été touchés. Cependant, il s'agit d'une information imprécise : est-on en train de parler du nombre total de clients du groupe (232,5 millions au 30 septembre 2013), de la base française dans la téléphonie mobile (26,768 millions de clients), de celle dans le haut débit fixe (10,046 millions d’accès) ou de la somme des deux ?
Selon la signification de ce pourcentage, cela concerne entre 300 000 et un peu plus de 7 millions d'abonnés. Mais dans tous les cas, il s'agit d'un piratage considérable. Dès lors, il n'est guère étonnant que l'opérateur évoque plutôt un pourcentage, qui donne l'illusion d'un incident limité et qui est nettement moins spectaculaire qu'une donnée exprimée avec un nombre.
Le piratage que vient de subir Orange tombe en tout cas au mauvais moment. Quelques temps auparavant, le PDG assurait le spectacle lors de sa fameuse conférence "Le Show Hello". À cette occasion, le groupe avait annoncé des engagements en matière de vie privée, déclinés en quatre axes, dont l'un porte justement sur la sécurité des données personnelles des clients.
Évidemment, la sécurité absolue n'existe pas en informatique. Nous le savons d'autant plus que nous avons été nous-mêmes touchés par un problème similaire l'été dernier. Cependant, l'opérateur s'était engagé fort loin au cours de sa conférence, en promettant une sécurité qui ne pouvait pas être apportée ("nous vous garantissons la sécurité de vos données").
Cela étant, Orange précise que la faille exploitée par les agresseurs a été comblée. Une plainte a par ailleurs été déposée. Enfin, l'opérateur invite les clients à se montrer particulièrement circonspects "en cas de sollicitation douteuse" par téléphone, SMS ou courrier électronique. Les données dérobées pourraient en effet servir à du hameçonnage, et entraîner des conséquences plus funestes.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.