Près de 4 mois après le piratage des informations personnelles de plus de 1 million de clients, la CNIL accuse publiquement Orange de « défaut de sécurité des données ». Pourquoi ?
Malgré une charte garantissant la sécurité des données personnelles signée à l’automne 2013 par Stéphane Richard (PDG de Orange), les clients de l’opérateur ont vu leurs informations se volatiliser par deux fois en 2014 :
- En janvier : piratage « Mon Compte » Orange
- En avril : 1,3 millions de données clients piratées
C’est sur cette deuxième fuite de données que la CNIL (Commission nationale de l’informatique et des libertés) s’est penchée, et 4 mois après les faits, son constat est implacable : selon sa délibération publique, Orange a « manqué à son obligation de sécurité » et « ne saurait minimiser sa responsabilité par le recours à plusieurs prestataires« .
Comment les données ont-elles été piratées ?
Pour mener à bien une campagne d’e-mailing, Orange a fait appel à un prestataire de services, qui a lui-même sollicité un sous-traitant. Une fois le courriel de prospection envoyé à tous les destinataires, il s’est avéré que le lien (obligatoire) de désinscription était vulnérable : une modification de l’adresse URL a en effet permis d’accéder au serveur du prestataire final, contenant notamment « 700 fichiers relatifs aux clients et aux prospects de la société Orange« . Ceux-ci ont été illégitimement « aspirés » au début du mois de mars 2014, depuis une adresse IP non identifiée.
Que reproche la CNIL à Orange ?
A première vue, la responsabilité du piratage incomberait plutôt au prestataire. Mais la CNIL accuse clairement Orange, pour trois raisons précises :
- L’application de prospection avait été soumise à Orange par le prestataire dès novembre 2013, et l’opérateur n’a réalisé aucun audit de sécurité.
- Orange a fourni à ses sous-traitants des fichiers clients « par simple courriel et sans mesure de sécurité particulière« .
- Orange n’a imposé à ses prestataires aucune clause de sécurité et de confidentialité des données.
La CNIL estime alors que l’opérateur « a manqué à son obligation de sécurité » et qu’il ne pourra reporter cette faute sur les sous-traitants.
Des circonstances atténuantes
La CNIL reconnaît toutefois que Orange a « remédié dans des délais satisfaisants aux faiblesses techniques » et a « démontré pour l’avenir une meilleure prise en compte des problématiques de confidentialité des données« . La sanction de la Commission se veut donc clémente : aucune mesure particulière n’a été prise à l’encontre de Orange, mis à part cette délibération publique, qui devrait ternir un peu plus l’image de l’opérateur.
Et les victimes dans tout ça ?
Les nombreuses informations personnelles piratées (adresses mail, numéros de téléphones fixe et mobile, dates de naissance, etc.) sont aujourd’hui probablement intégrées à différentes bases de données administrées par des cybercriminels, qui pourront les exploiter à l’envi, dans le cadre de campagnes de phishing par exemple.
Si – après le piratage – Orange a essayé de réagir rapidement en contactant toutes les personnes concernées, celles-ci doivent rester vigilantes et se méfier des mails douteux, même s’ils semblent provenir de l’opérateur (présence du logo, invitation à se connecter sur un site jumeau, etc.).
Source: nextimpact.com
Bonjour,
mon compte courriel a été piraté et mes donnés bancaires utilisés pour des usages personnels facturés par orange depuis deux mois. Orange ne réagi pas!
bonjour,
J’ai fait l’objet d’un piratage de mes infos personnelles sur Orange et ma boite mail, et quelqu’un a pu faire des achats sans mon consentement sur un site légal.
Orange se contente de me dire de changer mon mot de passe…. je pense que ce n’est pas suffisant car j’ai un préjudice financier.
Que puis-je faire ?
Cordialement.