Cybersécurité : Orange, victime d’une attaque informatique visant les données personnelles de ses clients



Lundi 3 Février 2014


Orange a fait l’objet d’une cyber-attaque le 16 janvier 2014. L’entreprise a en effet alerté ses clients d’une intrusion, les invitant à faire preuve de prudence concernant tout usage de leurs données d’identification sur les services d’Orange. Une situation qui rappelle que les risques liés à l’informatisation sont l’affaire de tous.



Image : FreeDigitalPhotos.net
C’est par le biais d’un courrier, relayé par PC Inpact, que les clients d’Orange ont été informés. L’entreprise a souhaité faire ainsi preuve de transparence en communiquant sur le sujet : l’interface client, intitulée « mon compte » sur le site internet d’Orange a fait l’objet d’une intrusion. D’après l’entreprise, cette cyber-attaque avait pour cible les données d’état civil des clients, leurs adresses mail, leurs numéros de téléphone, ou encore les informations relatives à leur profil de consommation.
 
« Vos mots de passe ne sont pas concernés, leur intégrité n’est pas mise en cause », assure Orange dans la lettre communiquée à ses clients. L’entreprise y affirme également que l’intrusion a été stoppée. Elle rappelle toutefois aux récipiendaires de son courrier les précautions élémentaires à observer et leur demande notamment de faire preuve de la plus grande vigilance à l’égard de toute demande ultérieure d’information personnelle, arguant qu’il pourrait s’agir d’une utilisation frauduleuse des données de contact subtilisées.
 
En tout et pour tout, les données de quelque 3 % des clients d’Orange, soit 800 000 personnes, ont été subtilisées. L’entreprise craint avant tout que ces personnes fassent l’objet de tentative de phishing, ou hameçonnage ; c’est-à-dire qu’elles sont recontactées directement par les pirates dans une tentative de récupérer des informations plus sensibles encore. Car les rares informations bancaires qui auraient pu être récupérées au cours de cette attaque ne peuvent être utilisées en l’état.
 
En effet, Laurent Benatar, directeur technique d’Orange contacté par PC Inpact, précise que les informations telles que le RIB des clients, ou encore leurs mots de passe sont respectivement partiellement et entièrement remplacés par astérisque sur les serveurs qui gèrent la rubrique « mon compte » de site internet de l’opérateur téléphonique. Cette procédure permet de masquer les informations de telle sorte que toute personne qui aurait frauduleusement accès à ces données via une attaque informatique ne peut donc espérer s’en resservir pour usurper l’identité d’un client d’Orange.
 
Une telle attaque n’a rien d’exceptionnel. En janvier 2014, la chaîne de distribution Target faisait également l’objet d’un vol de données aux États-Unis. L’affaire continue de faire grand bruit outre-Atlantique ou elle a soulevé un vrai débat de fonds sur la sécurité des systèmes de paiement du pays. Le même mois, Yahoo ! a fait l’objet d’attaque similaire, de même que l’entreprise Bell Canada.

Elisabeth Reault