L'INFO. 1,3 million de comptes clients Orange dans la nature. L'opérateur tricolore a fini par reconnaître mardi un incident de taille mais minimise cependant l'attaque, parlant d'un simple risque de "phishing". Si cette technique de piratage est relativement courante, les risques en matière de sécurité sont bien réels. Mais comment une attaque de cette envergure est-elle possible ? Orange a-t-il pris toutes les précautions pour protéger sa base de données ? Europe1.fr a interrogé Eric Filiol, directeur de recherche en sécurité informatique au sein du groupe Esiea et expert en cryptanalyse.
Le piratage d'1,3 million de données personnelles, comment est-ce possible ?
Eric Filiol : C'est très simple : pour stocker les informations de ses clients, Orange utilise un logiciel développé par un prestataire étranger. Sauf que les pirates ont repéré une faille au sein de ce programme et l'ont exploité pour siphonner les noms, prénoms, adresses e-mails et parfois même numéros de téléphone. La technique est extrêmement classique.
Une attaque de l'ampleur de celle qu'a subi Orange, c'est une première ?
E. F. : Absolument pas. Ça arrive régulièrement : il y a quelques années, le réseau social professionnel LinkedIn s'est fait pirater des millions de mots de passe et récemment, même le FBI a subi un piratage de ce type. Le problème, c'est que le plus souvent, ces failles sont découvertes suite à un piratage. Finalement, on s'aperçoit que les grands opérateurs comme Orange ne sont pas à l'abri d'un piratage malgré la taille de l'entreprise. Tout le monde est logé à la même enseigne lorsqu'il s'agit de sécurité.
Ça signifie que ce n'est pas si grave ?
E. F. : Au contraire ! Contrairement à ce qu'Orange dit, ces données sont sensibles. Une adresse e-mail c'est important, c'est grave. Car il suffit qu'un pirate croise ses informations avec d'autres, parfois accessibles librement en ligne, pour être capable de dresser un portrait-robot numérique de la victime. Libre à lui ensuite de se faire passer pour l'abonné Orange auprès d'un site marchand et de passer commande en son nom, sans son accord. Il n'est pas impossible de se faire voler ses codes de carte bancaire grâce à un phishing bien fait.
Vous sous-entendez qu'Orange n'a pas tout fait pour éviter une telle attaque ?
E. F. : Que ces données considérées comme sensibles fassent preuve de si peu de protection, c'est au minimum faire preuve de laxisme. Orange devrait au moins chiffrer (ajouter une couche de protection, Ndlr) les données stockées via ce logiciel, ce qui n'est pas le cas. En oubliant cette protection supplémentaire, Orange s'expose à un risque. C'est comme si vous déteniez des documents très importants dans votre bureau et, au lieu de les enfermer dans un placard fermer à clé, vous les laissiez à la portée de tous. Même si la porte d'entrée de votre bureau est fermé à clé, vous courrez un risque en ne les protégeant pas plus.
CONSO - Piratage Orange : 3 conseils pour bien se protéger
PIRATAGE - Orange : que vont devenir vos données volées ?
TÉLÉPHONIE MOBILE - Orange attaque un accord entre SFR et Bouygues
ÉCONOMIE - Avec Free, les Français ont économisé 7 milliards d'euros