L’opérateur téléphonique Orange a reconnu mardi un nouveau vol de données personnelles chez 1,3 million de clients et prospects, trois mois après une intrusion qui avait touché près de 800 000 d’entre eux.
Selon Orange, il y a « un nombre limité de données personnelles concernant des clients et des prospects » qui ont été copiées lors d’une intrusion détectée le 18 avril. Ainsi ont été récupérés les noms, prénoms, et quand elles étaient renseignées l’adresse mail, les numéros de téléphone mobile et fixe, mais également l’opérateur mobile et internet et la date de naissance, a annoncé le groupe dans un message affiché lundi sur son site internet.
Un porte-parole a précisé mardi à l’AFP que l’attaque avait touché 1,3 million de personnes, après avoir initialement évoqué « plusieurs dizaines de milliers » de personnes. Précisant que « les données ainsi récupérées pourraient être utilisées pour contacter les personnes concernées par courrier électronique, par SMS ou par téléphone, notamment à des fins de phishing » (harponnage), prévient Orange.
Le « phishing » est une technique de piratage qui vise à recueillir des informations confidentielles (codes d’accès ou mots de passe) via l’envoi d’e-mails censés provenir des banques ou opérateurs. Les victimes trompées par la qualité supposée de l’expéditeur fournissent elles-mêmes leurs propres données personnelles.
Orange a réagi en envoyant des mails ce lundi pour prévenir toutes les personnes concernées, a indiqué Orange. Le message qu’elles ont reçu contient un lien « click to call back » (cliquer pour qu’on vous rappelle), et l’opérateur s’engage à les rappeler dans les 48 heures pour répondre à leurs questions.
Mais alors pourquoi un délai aussi long entre la découverte de la faille le 18 avril et la divulgation de l'information le 5 mai ?
Le porte-parole a expliqué le délai par la nécessité de quantifier le vol de données, « de verrouiller le réseau technique et de s’assurer que la faille n’existe plus », puis de « dédoublonner les listes » qui contenaient souvent plusieurs fois les mêmes noms. Orange avait reconnu le 2 février le vol des données personnelles de 800 000 de ses clients internet.
Avec AFP