Vol de données : Orange de nouveau touché par un piratage informatique d’ampleur

e049d7fc1815051db4950502c551e9c0dbe8438b.jpg
érateur de télécoms Orange (Photo : Philippe Huguen)

[07/05/2014 12:56:16] Paris (AFP) Orange, premier opérateur français, a été victime pour la deuxième fois en trois mois d’un piratage d’ampleur qui met de nouveau en lumière la détermination de cybercriminels à se procurer des données personnelles dans le but d’escroquer des internautes.

Pas moins de 1,3 million de personnes, clients d’Orange ou figurant dans leur base de données, sont concernées par ce vol d’informations – noms, prénoms, adresse mail, numéro de téléphone ou encore date de naissance – que l’opérateur affirme avoir détecté le 18 avril. Aucune donnée bancaire n’a été volée, selon Orange qui indique avoir depuis résolu le problème.

Le 2 février, l’opérateur historique avait déjà reconnu avoir été victime d’une intrusion informatique similaire, avec le vol de données de quelque 800.000 de ses clients internet.

Une fois dérobées, ces données peuvent être revendues, avec des prix allant de quelques centimes par information à plusieurs dizaines voire une centaine d’euros s’il s’agit de données bancaires. Elles sont également très souvent utilisées à des fins de “phishing”, soit de l’hameçonnage.

Grâce aux informations récoltées, les cybercriminels se font plus facilement passer pour un tiers de confiance – banque, opérateur télécoms, caisse d’assurance maladie – et incitent les utilisateurs à entrer leurs mots de passe ou leur numéro de carte bancaire en les redirigeant vers des sites “miroir” qui reproduisent fidèlement logos et identité visuelle des interlocuteurs présumés.

“Orange, en tant qu’opérateur historique et avec son énorme base de données, est une cible de choix. Il est vrai que la répétition de cette attaque ternit sa crédibilité, mais il ne faut pas non plus confondre vol de données sur un portail commercial, et intrusion dans le coeur de leur système d’information”, indique à l’AFP Jean-François Beuze, président de l’entreprise de sécurisation des systèmes d’information Sifaris.

Il tient à souligner que “ce n’est pas qu’Orange n’est pas bien protégé, mais les attaquants sont souvent en avance sur les équipes techniques des grandes entreprises qui ont besoin de temps et doivent multiplier les procédures pour protéger des nouveaux risques tous les secteurs et activités, souvent organisés en silo”.

– Obligation de déclaration –

M. Beuze estime également que là où Orange “n’a pas de chance, c’est qu’avant, ce type d’attaque serait resté caché”, en allusion à l’obligation récente qu’ont les opérateurs de notifier systématiquement les attaques dont ils sont victimes auprès de la Commission nationale de l’informatique et des libertés (CNIL).

Récente en la matière (2011), la législation française a été précisée l’été dernier par un règlement européen qui oblige tous les fournisseurs de services de communications électroniques à déclarer à la CNIL toute attaque ou faille informatique qui touche au traitement de données à caractère personnel.

Cette notification doit être faite “sans considération d’ampleur, de nombre de personnes concernées”, quelque soient les dégâts constatés, “divulgation, altération, destruction, perte, dégradation”, lors d'”un accès non autorisé à des données à caractère personnel” et quelqu’en soient les conditions: “illicite comme dans le cas d’Orange, ou en raison d’un défaut de sécurité propre à l’organisme”, explique Hervé Machi, directeur de la conformité à la CNIL.

Les opérateurs doivent également déclarer dans les 24 heures, “même succinctement, l’existence d’une attaque, avec une possibilité de faire une notification plus détaillée dans les 72 heures”, précise-t-il.

Depuis 2011, la CNIL indique avoir reçu 31 notifications émanant d’opérateurs. Et si Orange tient la corde pour les derniers mois, M. Machi indique que les déclarations proviennent “de façon égale” de tous les opérateurs du secteur.

La législation impose également aux opérateurs d’informer les personnes concernées par le vol de données, “sans retard injustifié”.

Mercredi, un porte-parole d’Orange a indiqué que les 1,3 million de personnes dont les données étaient concernées par l’intrusion, avaient été “notifiées par mail” et que des téléconseillers avaient été spécialement formés pour répondre à leurs questions.