Orange a reconnu cette semaine le piratage de ses serveurs informatiques, et le vol des informations personnelles de 1,3 million de clients et prospects. Quelles sont les données concernées ? Quelles sont les conséquences pour les utilisateurs ? Comment s’en protéger au mieux ?
Malgré la charte signée en novembre 2013 par Stéphane Richard (PDG Orange) pour garantir la sécurité des données personnelles, les serveurs informatiques de l’opérateur téléphonique ont déjà été piratés en janvier 2014, impactant quelques 800 000 utilisateurs. De nouveau, le 18 avril dernier, une intrusion a permis de voler les informations personnelles de 1,3 millions de clients et prospects. L’opérateur a du « verrouiller le réseau technique et […] s’assurer que la faille [n’existait] plus« , avant d’en informer publiquement ses utilisateurs, le 5 mai.
Quelles sont les données personnelles volées ?
Les pirates qui se sont introduits sur les serveurs Orange ont volé d’importantes données personnelles, dont immanquablement les noms et prénoms de 1,3 millions de clients et prospects. Mais si elles ont été précisées dans les fiches de contact, ces autres informations ont également été dérobées :
- Adresse mail
- Numéro de téléphone mobile
- Numéro de téléphone fixe
- Nom de l’opérateur téléphonie mobile
- Nom de l’opérateur téléphonie fixe
- Date de naissance
Quels sont les risques pour les clients Orange ?
Forts de ces précieuses informations, les pirates (ou les cybercriminels qui ont racheté les données volées) sont désormais capables de contacter des personnes ciblées en se faisant passer pour Orange, dans le but de collecter d’autres informations, comme par exemple des identifiants bancaires en prétextant une erreur de prélèvement.
Ce démarchage frauduleux, appelé phishing (ou hameçonnage), peut s’effectuer par téléphone (fixe ou mobile), SMS ou e-mail (ex : alerte phishing Orange : un piège bien ficelé). Orange fournit sur son site d’assistance toutes les précautions à prendre dans un tel cas.
Comment a réagit Orange ?
Après la découverte de l’intrusion, l’opérateur a pris les mesures nécessaires pour « corriger les dysfonctionnements techniques et empêcher tout nouvel accès illégitime à ces données« .
Un mail a ensuite été envoyé à toutes les personnes concernées pour les informer des risques qu’elles encourent. Le courriel contient notamment un lien « click to call back » sur lequel il suffit de cliquer afin qu’Orange rappelle l’utilisateur sous 48h pour répondre à toutes ses questions. Si vous n’avez pas reçu ce message, c’est qu’a priori vos données personnelles Orange n’ont pas été volées lors du piratage.
Image: Flickr / Dino Abatzidis / CC BY-NC-SA 2.0