Orange indique que sa page « Mon compte » a été la cible d'une attaque jeudi 16 janvier, mais ajoute que tout est depuis rentré dans l'ordre. Le FAI précise que des données personnelles ont été dérobées, mais que les mots de passe ne sont pas concernés. Moins de 3 % de ses clients sont impactés. Une plainte a été déposée.
« Orange a été la cible d'une intrusion informatique le 16 janvier 2014 à partir de la page « Mon Compte» de l'Espace Client du site orange.fr ». C'est par cette entame qu'Orange annonce à certains de ses clients que la société a été victime d'une intrusion sur ses serveurs.
Orange victime d'une attaque, des données personnelles dérobées
Les pirates ont ainsi pu récupérer de nombreuses informations personnelles comme les noms, prénoms, adresse postale, mails, numéro de téléphone fixe et mobile, ainsi que des informations supplémentaires que vous auriez pu préciser : composition du foyer et nombre d'abonnements Orange ou concurrents par exemple. Le FAI ajoute par contre que les « mots de passe ne sont pas concernés, leur intégrité n'est pas mise en cause ».
La société indique en outre avoir colmaté la brèche et appelle à la prudence, car les pirates pourraient se servir de ces informations afin de lancer une campagne de phishing. Elle renvoie ainsi ses clients vers cette page.
Moins de 3 % des clients sont touchés et ils sont tous contactés par mail
De notre côté, nous avons pu nous entretenir avec Laurent Benatar, directeur technique d'Orange. Il confirme l'intrusion et nous donne quelques détails supplémentaires. Après la découverte de l'attaque, la page « Mon Compte » a été rapidement fermée par précaution, tandis que la faille était colmatée au bout de quelques heures. Au total, moins de 3 % des clients d'Orange sont concernés.
Ces derniers, et uniquement ceux-là, sont contactés par mail afin d'être informés de la situation (voir capture ci-dessus), si vous ne recevez aucune correspondance de la part du FAI dans les prochaines heures, c'est qu'a priori aucune de vos données personnelles n'est touchée.
Concernant les informations sensibles comme votre RIB par exemple, notre interlocuteur précise que cela ne concerne qu'une version réduite : certains chiffres sont remplacés par des *** dans la base de données et sont donc inutilisables en l'état. Les versions complètes sont enregistrées sur d'autres serveurs qui n'ont pas été touchés. Du côté des mots de passe, aucune fuite, même pas des versions chiffrées.
La protection des données chez Orange : une politique en trois étapes
Notez par contre que tous les clients Orange ont reçu un mail afin de les prévenir sur les tentatives de phishing. Celui-ci a été envoyé les 23 / 24 janvier et ne parlait pas encore d'une intrusion. Pour la société, il s'agissait tout de même d'appeler à la vigilance en attendant de savoir ce qu'il en était exactement de l'intrusion. Notez que les conseils prodigués sont valables en toutes situation, qu'une intrusion ait eu lieu ou non :
Laurent Benatar ajoute que, bien évidemment, Orange a porté plainte. Nous n'aurons par conséquence pas plus de détails, les éléments techniques étant entre les mains de la Police et de la justice. Le directeur technique tient tout de même à nous préciser le principe de fonctionnement de la sécurité informatique chez Orange, un service en trois étapes.
Tout d'abord, le groupe emploie des personnes qui sont chargées de simuler des attaques afin de se préparer à divers scénarios. Le site est placé sous haute surveillance, ce qui a d'ailleurs permis de rapidement identifier un comportement anormal, et donc de réagir en conséquence. Enfin une information auprès de ses clients afin de les avertir du danger du phishing, entre autres.
De manière générale, le phishing s'est affiné au cours des derniers mois / années et les mails deviennent de plus en plus propres, notamment du côté de l'orthographe. Mais forcément, avec des données personnelles, cela devient encore plus facile. Notez que suite au projet de loi sur la consommation, dont nous vous parlerons d'ici peu, la CNIL dispose de nouvelles armes et de nouveaux dispositifs en cas de telles fuites de données. Elle devrait d'ailleurs être amenée bientôt à en parler avec les FAI et opérateurs, le cas d'Orange devrait donc faire école.
Commentaires (94)
#1
tout va très bien, madame la Marquise " />
#2
David s’est fait une amie ! " />
#3
C’est pas obligation légale récente que d’informer ses clients qu’une intrusion a eu lieu en portant atteinte aux données personnelles ??
#4
On va a sérieusement répondu que le service de presse est en séminaire ? On ne peut pas faire une réponse plus pourrie que celle-là !
Bonjour la communication d’entreprise !!
#5
Personne pour nous rappeler qu’ils avaient pourtant AlbaTros dans leurs équipes.. ?
Bon, je m’y colle.
(Merci de réserver ces nouizes pour le TrollDredi plutôt… " /> —-> [] )
#6
Merde alors , et la sécurisation ?
C ‘ était pourtant leur fer de lance contre les pirates !
Bandes de rigolos.
#7
Lol le “fais un mail” du service RP d’Orange… Quelle courtoisie !
#8
#9
#10
N’étant pas client Orange, c’est la news qui a 2 semaines de retard ou la page mon Compte?" />
#11
Maintenant allez mettre vos données dans le Cloud Orange…
#12
#13
Zut j’ai lu trop vite, je croyais qu’il y avait une victime de plus chez Orange. Si c’est qu’une intrusion informatique chez la plus grand boîte de télécommunication en France, alors ce n’est pas bien grave.
Ils n’auront qu’a demander au NSA la sauvegarde de leur base de donnée MWAHAHAHA " />
Hmm.. c’était une blague.
#14
#15
Visiblement, vu la com actuelle, un séminaire leur fera le plus grand bien " />
#16
#17
#18
pfff, si seulement ils avaient demandé de l’aide d’une boite SPECIALISE dans la cyberdéfense, ils en serait pas la…
#19
je suppose que les clients Sosh sont aussi concernés ?
#20
#21
#22
#23
#24
#25
#26
#27
#28
Mince, on avait pas dit que plus cher, c’était mieux?
#29
Surprenant : abonné fibre, je n’ai pas vu ce message aujourd’hui quand je me suis connecté suite à votre article.
Et je suis allé sur la page”Mon compte” pour vérifier.
#30
#31
C’est le pare-feu OpenOffice !!!
#32
#33
#34
#35
#36
#37
#38
J’ai eu la chance de recevoir les 2 mails : un sur les risques du phishing et l’autre comme quoi mes données personnelles sont dans la nature. ça fait plaisir. J’attend maintenant les tentatives de phishing préremplies avec mes coordonnées…" />
#39
Commentaire après la mise à jour :
la communication d’Orange est plutôt complète et assez transparente. Les questions de PCI ont peut-être aidé.
Finalement, que le service communication ait été en séminaire toute la journée y a peut-être aidé. Le directeur technique doit savoir de quoi il parle, lui.
#40
#41
3% ça fait quand même prés de 300 000 clients Inpactés…
#42
#43
#44
#45
#46
L’accès aux boutiques, la hotline par téléphone, des téléphones avec subvention … et peut être une myriade de services plus ou moins utiles ?
Edit : j’oubliais le droit de s’engager pour 12 mois minimum " />
#47
#48
“Ne vous inquiétez pas, les hackers n’ont pas dérobé votre mot de passe, ils ont juste” :
Rien d’inquiétant en soit…
" />
" />
#49
#50
#51
#52
#53
#54
#55
#56
#57
#58
#59
#60
Et pour ceux qui ont une ligne mobile mais pas renseigné d’adresses mail, ils font comment ? " />
#61
#62
#63
#64
#65
#66
#67
Je suis pas client orange (ah si Sosh) mais je trouve ça honnête de leur part! c’est bien la transparence! pas sur que SFR soit aussi transparent…
#68
#69
#70
#71
Mais concrètement quel est l’impact si un pirate arrive à choper un RIB ?
et bien il appel ta banque en expliquant que c’est bien toi grace a toute les info personnelle qu’il a obtenu. Trop facile.
Du coup il fait enregistrer son RIB en suisse et fait un virement de la somme restante dessus. ainsi que de tous les comptes qui traîne sur ton identifiant.
bon c’est cool a la banque postale il y a un plafond de 2000 € pour les virements, d’ailleurs avant c’était 5000 €. Peut être qu’il ont deja eu ce genre de mésaventure " />
#72
#73
#74
#75
#76
#77
#78
#79
#80
#81
#82
#83
#84
devant l’absence d’information des Mme Michu (ou pas) :ce lien.
#85
Ah je comprends mieux pourquoi je recevais des spams depuis 15 jours…
#86
Le Monde a osé :
Selon PCImpact, seuls 3 % des clients d’Orange sont touchés, ce qui représenteraient un peu moins de 800 000 clients.
" />
http://www.lemonde.fr/technologies/article/2014/02/02/les-donnees-personnelles-d…
#87
#88
Toujours des incapables chez Orange, depuis novembre 2013, aucune facture n’a été reçue par mes parents, et il a fallu passer 3 coups de fils au SAV pour s’entendre dire qu’un nombre limité de clients subissaient un bug technique qui rendait l’édition de leur facture impossible. Bien entendu, aucun mail de la part d’Orange pour prévenir ces clients du bug en question et d’un éventuel rétablissement… " />
#89
Sébastien qui passe à la radio. " />
#90
Salut,
vous (PCI) avez été cité sur Canal + dans la nouvelle édition ;)
#91
pcinpact en référence sur france info
#92
Une news où le site PCI est cité comme déclencheur d’une communication hasardeuse.
http://www.zdnet.fr/actualites/piratage-des-clients-orange-une-communication-des…
" />
#93
Merci pour les retours, oui on a été interviewé sur plusieurs médias radio / TV suite à cette affaire " />
#94
Titre : Au viol ! On m’a vendu !
Bonjour,
je viens de me rendre compte que depuis fin janvier 2014
ma banque, le CRÉDIT AGRICOLE, affiche en ligne,
sur ma page de suivi détaillé de mes opérations sur mon compte courant,
non seulement “qui” a prélevé sur mon compte courant,
ORANGE en l’occurence, mais également,
en plus du numéro de prélèvement,
s’il s’agit d’une ligne de téléphone portable, ou fixe, ou internet,
Et ces informations se sont affichées de façon rétrocative
puisque je m’en suis aperçu le 28 janvier 2014,
que le 23 janvier 2014 (Copiesss d’écran à chaque connexion)
il n’y avait précisé que “Prélèvement ORANGE”,
et que toutes ces nouvelles informations
se sont donc également affichées pour des prélèvements
qui remontent à décembre 2013.
Pour moi il s’agit (Dans le désordre) :
sur les serveurs des banques
sur les données numériques me concernant
(Voir la loi Informatique et liberté, et quid des droits de l’homme ?)
pour identifier mes prélèvements (La date et la somme me suffisaient)
Des milliers de personnes vont se demander
pourquoi leur établissement bancaire
dispose de tous les détails de leurs abonnements
de téléphone(s) portable(s), fixe(s), et internet,
et autres.
Ça va encore faire du remue-ménage.
Pourquoi pas le détail des appels téléphoniques
(Voire leurs contenus) et des connexions internet ?
Et bientôt votre liste de courses !
Et pourquoi pas des détails beaucoup plus personnels ?
C’est le syndrome NSA ?!
Mais non, c’est Big Brother qui se montre un peu + chaque jour.
ORANGE m’a répondu, à côté, comme d’habitude :
ces données sont communiquées indifférement à toutes les banques.
Ma banque, le CRÉDIT AGRICOLE, m’a répondu :
ce sont les nouvelles (là, le mot manquait) européennes.
Je ne suis pas J. Cahuzac ou compagnie.
Et l’affichage de mes informations ORANGE
(CAF, MMA, crédit à la consommation, … )
n’ont rien à voir avec un tel cas.
Je me demandais si les chaînes TV d’informations
avait également traité le sujet
car je me sent violé, je suis en détresse,
à la recherche d’informations pour me protéger.
Je songe à poursuivre ORANGE et le CRÉDIT AGRICOLE.
Merci de me répondre svp.
PS :
http://assistance.orange.fr/la-confidentialite-de-vos-donnees-personnelles-1803….
J’y ai lu au paragraphe “Mise à jour de la Charte” :
… La date de dernière modification apportée à cette politique se trouve en bas de chaque page.
Hein ? Où ça ?
http://assistance.orange.fr/le-traitement-de-vos-donnees-personnelles-1516.php
J’y ai lu au paragraphe “Comment traitons-nous vos données personnelles ?” :
…
Par ailleurs et dans le cadre de la dimension internationale du Groupe, nous vous informons que vos données personnelles peuvent être stockées, traitées et transférées par Orange et ses sous-traitants, au sein et hors de l’Union Européenne, dans le strict respect de vos droits en matière de protection des données personnelles.
C’est avec des exemples comme ceux-là qu’on voit qu’ORANGE tient ses engagements / sa parole
et que l’exercice de notre droit d’accès, de rectification et d’opposition,
Conformément à loi Informatique et libertés du 6 janvier 1978, modifiée le 6 août 2004,
ne pèse pas lourd.
" />