Vol de données. L'opérateur téléphonique Orange a reconnu mardi un nouveau vol de données personnelles chez 1,3 million de clients et prospects, trois mois après une intrusion qui avait touché près de 800.000 d'entre eux. "Un nombre limité de données personnelles concernant des clients et des prospects" ont été copiées lors d'une intrusion détectée le 18 avril: noms, prénoms, et quand elles étaient renseignées l'adresse mail, les numéros de téléphone mobile et fixe, l'opérateur mobile et internet et la date de naissance, a annoncé le groupe dans un message affiché lundi sur son site internet.
La technique du phishing. "Les données ainsi récupérées pourraient être utilisées pour contacter les personnes concernées par courrier électronique, par SMS ou par téléphone, notamment à des fins de phishing" (harponnage), prévient Orange. Le "phishing" est une technique de piratage qui vise à recueillir des informations confidentielles (codes d'accès ou mots de passe) via l'envoi d'e-mails censés provenir des banques ou opérateurs.
Les victimes trompées par la qualité supposée de l'expéditeur fournissent elles-mêmes leurs propres données personnelles. Ces bases de données peuvent ensuite être revendues à des fins commerciales et pour des prospections publicitaires.
Les victimes alertées. Des mails ont été envoyés lundi pour prévenir toutes les personnes concernées, a indiqué Orange. Le message qu'elles ont reçu contient un lien "click to call back", (cliquer pour qu'on vous rappelle), et l'opérateur s'engage à les rappeler dans les 48 heures pour répondre à leurs questions.
Le porte-parole de l'entreprise a expliqué que le délai entre la découverte de l'intrusion le 18 avril et sa divulgation le 5 mai était lié à la nécessité de quantifier le vol de données, "de verrouiller le réseau technique et de s'assurer que la faille n'existe plus", puis de "dédoublonner les listes" qui contenaient souvent plusieurs fois les mêmes noms.
Un précédent. Le porte-parole a expliqué le délai entre la découverte de l'intrusion le 18 avril et sa divulgation le 5 mai par la nécessité de quantifier le vol de données, "de verrouiller le réseau technique et de s'assurer que la faille n'existe plus", puis de "dédoublonner les listes" qui contenaient souvent plusieurs fois les mêmes noms. Orange avait reconnu le 2 février le vol des données personnelles de 800.000 de ses clients internet.
ZOOM - Données personnelles : ce qu'il faut savoir sur le "phishing"
UN PRECEDENT - les données personnelles de 800.000 clients piratées
NSA - un câble sous-marin d'Orange piraté