S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

[MàJ] Attaque informatique, fuite de données : Orange répond à nos questions

Une attaque, une fuite, un mail, un séminaire

Mise à jour :  Laurent Benatar, directeur technique d'Orange, à répondu à nos questions concernant l'intrusion informatique dont a été victime Orange, nous avons mis l'actualité à jour en conséquence.

Orange indique que sa page « Mon compte » a été la cible d'une attaque jeudi 16 janvier, mais ajoute que tout est depuis rentré dans l'ordre. Le FAI précise que des données personnelles ont été dérobées, mais que les mots de passe ne sont pas concernés. Moins de 3 % de ses clients sont impactés. Une plainte a été déposée.

Mail orange intrusion

 

« Orange a été la cible d'une intrusion informatique le 16 janvier 2014 à partir de la page « Mon Compte» de l'Espace Client du site orange.fr ». C'est par cette entame qu'Orange annonce à certains de ses clients que la société a été victime d'une intrusion sur ses serveurs.

Orange victime d'une attaque, des données personnelles dérobées

Les pirates ont ainsi pu récupérer de nombreuses informations personnelles comme les noms, prénoms, adresse postale, mails, numéro de téléphone fixe et mobile, ainsi que des informations supplémentaires que vous auriez pu préciser : composition du foyer et nombre d'abonnements Orange ou concurrents par exemple. Le FAI ajoute par contre que les « mots de passe ne sont pas concernés, leur intégrité n'est pas mise en cause ».

 

La société indique en outre avoir colmaté la brèche et appelle à la prudence, car les pirates pourraient se servir de ces informations afin de lancer une campagne de phishing. Elle renvoie ainsi ses clients vers cette page.

Moins de 3 % des clients sont touchés et ils sont tous contactés par mail

De notre côté, nous avons pu nous entretenir avec Laurent Benatar, directeur technique d'Orange. Il confirme l'intrusion et nous donne quelques détails supplémentaires. Après la découverte de l'attaque, la page « Mon Compte » a été rapidement fermée par précaution, tandis que la faille était colmatée au bout de quelques heures. Au total, moins de 3 % des clients d'Orange sont concernés.

 

Ces derniers, et uniquement ceux-là, sont contactés par mail afin d'être informés de la situation (voir capture ci-dessus), si vous ne recevez aucune correspondance de la part du FAI dans les prochaines heures, c'est qu'a priori aucune de vos données personnelles n'est touchée.

 

Orange Mon Compte

 

Concernant les informations sensibles comme votre RIB par exemple, notre interlocuteur précise que cela ne concerne qu'une version réduite : certains chiffres sont remplacés par des *** dans la base de données et sont donc inutilisables en l'état. Les versions complètes sont enregistrées sur d'autres serveurs qui n'ont pas été touchés. Du côté des mots de passe, aucune fuite, même pas des versions chiffrées.

La protection des données chez Orange : une politique en trois étapes 

Notez par contre que tous les clients Orange ont reçu un mail afin de les prévenir sur les tentatives de phishing. Celui-ci a été envoyé les 23 / 24 janvier et ne parlait pas encore d'une intrusion. Pour la société, il s'agissait tout de même d'appeler à la vigilance en attendant de savoir ce qu'il en était exactement de l'intrusion. Notez que les conseils prodigués sont valables en toutes situation, qu'une intrusion ait eu lieu ou non :

 

Orange mail phishing

 

Laurent Benatar ajoute que, bien évidemment, Orange a porté plainte. Nous n'aurons par conséquence pas plus de détails, les éléments techniques étant entre les mains de la Police et de la justice. Le directeur technique tient tout de même à nous préciser le principe de fonctionnement de la sécurité informatique chez Orange, un service en trois étapes.

 

Tout d'abord, le groupe emploie des personnes qui sont chargées de simuler des attaques afin de se préparer à divers scénarios. Le site est placé sous haute surveillance, ce qui a d'ailleurs permis de rapidement identifier un comportement anormal, et donc de réagir en conséquence. Enfin une information auprès de ses clients afin de les avertir du danger du phishing, entre autres.

 

De manière générale, le phishing s'est affiné au cours des derniers mois / années et les mails deviennent de plus en plus propres, notamment du côté de l'orthographe. Mais forcément, avec des données personnelles, cela devient encore plus facile. Notez que suite au projet de loi sur la consommation, dont nous vous parlerons d'ici peu, la CNIL dispose de nouvelles armes et de nouveaux dispositifs en cas de telles fuites de données. Elle devrait d'ailleurs être amenée bientôt à en parler avec les FAI et opérateurs, le cas d'Orange devrait donc faire école.

Sébastien Gavois

Journaliste, jamais bien loin d'une connexion internet. Spécialiste du stockage sous toutes ses formes et du décryptage de PDF des opérateurs de téléphonie mobile.

Google+

Publiée le 30/01/2014 à 10:51 | Mise à jour le 30/01/2014 à 14:00

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 94 commentaires

Avatar de jb18v INpactien
jb18v Le jeudi 30 janvier 2014 à 10:55:05
Inscrit le lundi 23 mai 05 - 109463 commentaires
tout va très bien, madame la Marquise chant.gif
Avatar de Soltek INpactien
Soltek Le jeudi 30 janvier 2014 à 10:55:42
Inscrit le mardi 15 juin 10 - 1597 commentaires
Avatar de Soriatane INpactien
Soriatane Le jeudi 30 janvier 2014 à 11:01:43
Inscrit le vendredi 17 mai 13 - 464 commentaires
C'est pas obligation légale récente que d'informer ses clients qu'une intrusion a eu lieu en portant atteinte aux données personnelles ??

Edité par Soriatane le jeudi 30 janvier 2014 à 11:02
Avatar de Ohmydog INpactien
Ohmydog Le jeudi 30 janvier 2014 à 11:02:50
Inscrit le jeudi 27 juillet 06 - 3431 commentaires
On va a sérieusement répondu que le service de presse est en séminaire ? On ne peut pas faire une réponse plus pourrie que celle-là !
Bonjour la communication d'entreprise !!
Avatar de jjouifi INpactien
jjouifi Le jeudi 30 janvier 2014 à 11:03:29
Inscrit le mardi 14 mai 13 - 21 commentaires
Personne pour nous rappeler qu'ils avaient pourtant AlbaTros dans leurs équipes.. ?
Bon, je m'y colle.

(Merci de réserver ces nouizes pour le TrollDredi plutôt... ----> [] )

Il y a 94 commentaires

;