Double intrusion chez Orange : le gouvernement répond à un sénateur

Double intrusion chez Orange : le gouvernement répond à un sénateur

Je vais bien, tout va bien...

Avatar de l'auteur
Sébastien Gavois

Publié dans

Société numérique

01/08/2014 6 minutes
28

Double intrusion chez Orange : le gouvernement répond à un sénateur

Suite au piratage d'Orange du mois de février, le sénateur Roland Povinelli avait interrogé le gouvernement afin d'avoir sa position sur « ces phénomènes nouveaux qui inquiètent les Français ». Le secrétariat d'État chargé du numérique vient d'apporter des éléments de réponse.

Le 16 janvier, Orange se faisait pirater une partie des données de ses clients. Suite à « une intrusion informatique », la société nous indiquait en effet que des données personnelles comme les noms, prénoms, adresses et e-mails de près de 3 % de ses clients avaient été dérobés. Une plainte avait évidemment été déposée. Un sénateur s'était penché sur la question et demandait au gouvernement de préciser sa position concernant « ces phénomènes nouveaux qui inquiètent les Français ». En mai dernier, suite à une seconde intrusion, des données personnelles étaient à nouveau récupérées.

Phishing et spams : les recommandations du gouvernement

Plus de cinq mois après, le secrétariat d'État chargé du numérique apporte sa réponse... en demi-teinte. Il commence en effet par préciser que « les pouvoirs publics mènent depuis plusieurs années une politique active de lutte contre les envois de courriels indésirables, autrement dénommés « spams » » et rappelle que « le site www.surfez-intelligent.gouv.fr informe des règles de bonne conduite à suivre lors de l'utilisation de l'internet ».

 

Le secrétariat d'Etat ajoute ensuite que, « sous l'impulsion du gouvernement et en concertation avec les professionnels, une plate-forme nationale, Signal Spam, a été lancée en mai 2007. Ce dispositif permet le signalement des courriels indésirables en vue du traitement des plaintes dans le cadre d'une étroite coopération entre les administrations concernées et les opérateurs économiques. En outre, l'action de l'office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC) inclut notamment la lutte contre ces pratiques. Les particuliers peuvent signaler directement des agissements illicites via le site www.internet-signalement.gouv. fr. Concernant spécifiquement le phishing, le site www.phishing-initiative.com a mis en place une plateforme de signalement des sites frauduleux afin de lutter efficacement contre ceux-ci ».

 

Spam
Crédits : flytosky11/iStock/Thinkstock

Intrusions : Orange a informé la CNIL « conformément aux dispositions de l'article 38 »

Après ces quelques généralités, on revient au cœur du sujet : le cas du piratage d'Orange. « Au cas particulier, la CNIL a réuni, le 3 février 2014, les opérateurs de communications électroniques pour leur rappeler leurs obligations en matière de violations de données personnelles. Comme prévu par les dispositions en vigueur, la violation de données personnelles intervenue chez Orange le 16 janvier 2014 a bien fait l'objet d'une notification à la CNIL dès le lendemain et Orange a également procédé à l'information des personnes concernées. Ce dossier est en cours d'instruction par les services de la CNIL. Par ailleurs, suite au dépôt de plainte d'Orange, l'enquête sur ce piratage a été confiée à la direction centrale du renseignement intérieur (DCRI) ». Ce dernier point nous avait d'ailleurs été confirmé par Laurent Benatar, directeur technique d'Orange. Rien n'est par contre précisé concernant l'avancement du traitement de la plainte et si les coupables avaient été ou non identifiés.

 

Le secrétariat d'Etat évoque ensuite le second piratage : « Un deuxième piratage concernant 1,3 million de clients d'Orange a été annoncé le 6 mai 2014. Les personnes concernées ont été informées par courriel de cette intrusion et des conseillers de l'opérateur ont été spécialement formés pour répondre à leurs questions. De même que la première, cette deuxième intrusion a été notifiée à la CNIL conformément aux dispositions de l'article 38 de l'ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques. Cet article, qui ajoute un article 34 bis à la loi 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, impose aux fournisseurs de services de communications électroniques d'avertir sans délais la CNIL en cas de violation de données à caractère personnel et d'informer les personnes concernées ».

 

Mail orange intrusion

Le gouvernement attentif, quid des sociétés piratées qui ne sont pas FAI ou opérateur ?

Le gouvernement indique donc que lors de ses deux piratages, Orange s'est conformée à ses obligations en informant la CNIL dans les temps, puis en contactant ses clients. Il termine en indiquant que « de son côté, la CNIL entend insister de nouveau auprès des opérateurs et des acteurs économiques sur la nécessité d'être proactifs en termes de sécurité des données personnelles [...] ».

 

Comme nous avions eu l'occasion de l'évoquer lors de la faille Heartbleed,  l'article 34 bis de la loi 78-17 du 6 janvier 1978 modifiée ne s'impose qu'aux FAI ainsi qu'aux opérateurs de téléphonie mobile, les autres sociétés n'étant pas soumises à cette obligation d'information. Si le G29 se penche sur la question au niveau européen, rien n'a encore été décidé pour le moment. On regrettera d'ailleurs que les services de l'État, bien qu'ils « demeurent très attentifs au maintien de cette mobilisation et veillent à ce que les mesures nécessaires soient prises pour garantir une protection économique efficace des utilisateurs de l'internet », n'aient d'ailleurs pas décidé d'élargir cette obligation de notification, ce qui aurait été bien utile dans le cas d'une faille aussi généralisée que l'a été Heartbleed, de nombreux services n'ayant jamais communiqué sur le sujet auprès de leurs clients, malgré la fuite potentielle de données très sensibles. 

 

Concernant la formulation de la question de M. Roland Povinelli, on s'étonne tout de même qu'il parle de « phénomènes nouveaux » étant donné que les intrusions et autres cyberattaques ne le sont pas vraiment, même si leur fréquence et l'impact qu'elles ont s'amplifie. On note d'ailleurs qu'en France, c'est notamment avec l'obligation de communication auprès des clients faite par les FAI que ces problèmes gagnent en visibilité et en retentissement médiatique. Si elle devait être généralisée, le phénomène devrait d'ailleurs s'amplifier, et ce ne serait sans doute pas un mal, forçant au passage les services à mieux sécuriser leurs données afin d'éviter de faire les gros titres.

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Phishing et spams : les recommandations du gouvernement

Intrusions : Orange a informé la CNIL « conformément aux dispositions de l'article 38 »

Le gouvernement attentif, quid des sociétés piratées qui ne sont pas FAI ou opérateur ?

Commentaires (28)




Double pénétrusion chez Orange




« ces phénomènes nouveaux qui inquiètent les Français »



On dirait le sous-titre d’un reportage sensationnel passant à la télé.








Capharnaüm a écrit :



On dirait le sous-titre d’un reportage sensationnel passant à la télé.







le retour de Jacques Pradel? <img data-src=" />









jeje07 a écrit :



le retour de Jacques Pradel? <img data-src=" />





Non, juste Morandini qui parle des audiences de l’access sur France 2.





« ces phénomènes nouveaux qui inquiètent les Français »





C’est aussi “nouveau” que l’informatique est apparue hier mais bon…


Si les piratages et l’insécurité informatique continuent à grandir à cette vitesse-là, il finira par y avoir de sérieux retours de bâton, à mon avis.

Quand trop de comptes en banques seront vidés, et d’identités usurpées, avec toutes les ruines de vie et les cauchemars sociaux que ça engendrera, la société finira par exiger des vraies mesures, et pas de la mesurette. C’est l’équilibre global de la société qui va finir par être en jeu. Une société sereine a besoin de confiance.



Je sens bien qu’on finira soit par réécrire complètement les protocoles HTTP et autres pour mettre fin au surf de tout le monde, soit que des pans entiers de la population vont choisir de ne plus vivre dans le numérique, ou en tant cas dans le numérique qui transporte de l’identité.








raymondcal a écrit :



Je sens bien qu’on finira soit par réécrire complètement les protocoles HTTP et autres pour mettre fin au surf de tout le monde, soit que des pans entiers de la population vont choisir de ne plus vivre dans le numérique, ou en tant cas dans le numérique qui transporte de l’identité.





Enfin le nom et l’adresse sur chatroulette <img data-src=" />



C’est quoi le rapport avec le Phishing / Spam ? Ce paragraphe donne l’impression d’avoir été parachuté la sans raison.



Le secrétariat d’état répond stop au phishing quand on lui parle intrusion ?? WTF !








Crazy Diver a écrit :



C’est quoi le rapport avec le Phishing / Spam ? Ce paragraphe donne l’impression d’avoir été parachuté la sans raison.



Le secrétariat d’état répond stop au phishing quand on lui parle intrusion ?? WTF!





article Next INpact :

la société nous indiquait en effet que des données personnelles comme les noms, prénoms, adresses et e-mails de près de 3 % de ses clients avaient été dérobés.



adresses e-mail volées = activité de spam / phishing à prévoir









Capharnaüm a écrit :



On dirait le sous-titre d’un reportage sensationnel passant à la télé.





plutôt oui. Mais c’est tellement plus simple de balancer une punchline toute faite sur le mode inquiétant que d’avoir des arguments chiffrés (genre augmentation de x% du nombre des faits recensés, etc.)







kade a écrit :



Enfin le nom et l’adresse sur chatroulette <img data-src=" />





“coucou, tu veux voir ma <img data-src=" /> ? “









joma74fr a écrit :



article Next INpact :

adresses e-mail volées = activité de spam / phishing à prévoir







Donc le vol de données est si banalisé que Orange n’ai pas a renforcé ses infras.

Que la solution à ce problème soit de protéger les gens du phishing du au Je m’en foutisme intrusion dont ils ont été victimes …



Il faut résoudre le problème à la source, et contraindre tout le monde à signaler ce genre d’intrusion (cf suite de l’article) et faire quelque chose en cas de récidive !



Juste pour le fun : une facture de 1500 x nb de clients impactés par ce défaut de sécurisation caractérisé ça ferait un bon exemple …









Crazy Diver a écrit :



Donc le vol de données est si banalisé que Orange n’ai pas a renforcé ses infras.

Que la solution à ce problème soit de protéger les gens du phishing du au Je m’en foutisme intrusion dont ils ont été victimes …



Il faut résoudre le problème à la source, et contraindre tout le monde à signaler ce genre d’intrusion (cf suite de l’article) et faire quelque chose en cas de récidive !



Personne n’a dit que Orange n’a pas a renforcé la sécurité de ses données. pourquoi dire ça ? L’article de Next INpact ne fait qu’analyser la réponse du gouvernement au sénateur : la réponse commence par les initiatives du gouvernement contre le phishing et contre le spam et ensuite il continue sa réponse en traitant le problème particulier du piratage des données d’Orange.










Crazy Diver a écrit :



Juste pour le fun : une facture de 1500 x nb de clients impactés par ce défaut de sécurisation caractérisé ça ferait un bon exemple …







@Crazy driver



+100

En fait les sociétés font le calcul suivant :

coût de la sécurisation comparé à coût du piratage.

Comme les gens ont bien gentiment intégré que mais non ma petite dame on peut rien y faire! coût du piratage = négligeable. C’est pas pour rien que dans beaucoup de boîtes le responsable informatique est aussi le comptable.

Pas besoin d’une br…tte législative de plus, la solution la plus simple la classe action. Si orange se retrouve à payer 15 000€ par adresse compromise je sens qu’ils se décideront à vérifier les saisies utilisateurs et les accès en base de donnée. Mais heureusement le gouvernement à exclu les providers du dispositif de class action <img data-src=" />

Et j’aimerais savoir ce qu’on entend par “compromis” les entrées en BD elles étaient cryptées? Salées? Hashées? Ou alors en clair comme pour le site de Pearl?












flamwolf a écrit :



@Crazy driver



+100

En fait les sociétés font le calcul suivant :

coût de la sécurisation comparé à coût du piratage.

Comme les gens ont bien gentiment intégré que mais non ma petite dame on peut rien y faire! coût du piratage = négligeable. C’est pas pour rien que dans beaucoup de boîtes le responsable informatique est aussi le comptable.

Pas besoin d’une br…tte législative de plus, la solution la plus simple la classe action. Si orange se retrouve à payer 15 000€ par adresse compromise je sens qu’ils se décideront à vérifier les saisies utilisateurs et les accès en base de donnée. Mais heureusement le gouvernement à exclu les providers du dispositif de class action <img data-src=" />

Et j’aimerais savoir ce qu’on entend par “compromis” les entrées en BD elles étaient cryptées? Salées? Hashées? Ou alors en clair comme pour le site de Pearl?





oué bon enfin il ne faut pas vouloir l’impossible non plus en demansant 100% de sécurité avec un SI très complexe et qui est une bonne cible vu sa visibilité . Ce n’est pas en faisant des classes actions à tour de bras que cela changera énormément à la sécurité. Sinon il faut se présenter à Orange et leur présenter la solution miracle









the_frogkiller a écrit :



oué bon enfin il ne faut pas vouloir l’impossible non plus en demansant 100% de sécurité avec un SI très complexe et qui est une bonne cible vu sa visibilité . Ce n’est pas en faisant des classes actions à tour de bras que cela changera énormément à la sécurité. Sinon il faut se présenter à Orange et leur présenter la solution miracle





sachant, en plus, que ladite solution doit probablement couter des sous et qu’elle fera surement doublon avec les préconisations en la matière d’une experte en sécurité informatique qu’ils ont déjà en interne (indice : son nom commence par un A) <img data-src=" />









the_frogkiller a écrit :



oué bon enfin il ne faut pas vouloir l’impossible non plus en demansant 100% de sécurité avec un SI très complexe et qui est une bonne cible vu sa visibilité . Ce n’est pas en faisant des classes actions à tour de bras que cela changera énormément à la sécurité. Sinon il faut se présenter à Orange et leur présenter la solution miracle







Je suis près à parier l’inverse, jusqu’à présent sur l’ensemble des articles concernant des piratages j’ai relevé un nombre affolant de “failles” connues depuis des années.

Je conseil à ceux que ça intéresse le dernier numéro de MISC sur la sécurité informatique des réseaux industriels juste histoire de vous faire peut si vous vivez en zone SEVESO…









WereWindle a écrit :



sachant, en plus, que ladite solution doit probablement couter des sous et qu’elle fera surement doublon avec les préconisations en la matière d’une experte en sécurité informatique qu’ils ont déjà en interne (indice : son nom commence par un A) <img data-src=" />







Albanel ? Pare-feu OpenOffice toussa…



—–&gt; [ <img data-src=" /> ]



<img data-src=" />



<img data-src=" />





ce ne serait sans doute pas un mal, forçant au passage les services à mieux sécuriser leurs données afin d’éviter de faire les gros titres.





  • 1


Tiens, c’est amusant. Je suis chez Orange et j’ai eu récemment eu la joie de découvrir que quelqu’un avait utilisé le service Contact+ pour me tirer 13€. Quand on juxtapose les piratages successifs d’Orange à ce genre d’arnaque, c’est fascinant…

Soit dit en passant, merci à Orange d’activer par défaut de tels services propices aux arnaques plutôt que de demander à l’utilisateur de l’activer sciemment








flamwolf a écrit :



@Crazy driver



+100

En fait les sociétés font le calcul suivant :

coût de la sécurisation comparé à coût du piratage.

Comme les gens ont bien gentiment intégré que mais non ma petite dame on peut rien y faire! coût du piratage = négligeable. C’est pas pour rien que dans beaucoup de boîtes le responsable informatique est aussi le comptable.

Pas besoin d’une br…tte législative de plus, la solution la plus simple la classe action. Si orange se retrouve à payer 15 000€ par adresse compromise je sens qu’ils se décideront à vérifier les saisies utilisateurs et les accès en base de donnée. Mais heureusement le gouvernement à exclu les providers du dispositif de class action <img data-src=" />

Et j’aimerais savoir ce qu’on entend par “compromis” les entrées en BD elles étaient cryptées? Salées? Hashées? Ou alors en clair comme pour le site de Pearl?





Et c’est la même pour les banques. Les coûts de piratage et d’utilisations frauduleuses sont juste considérés comme des pertes normales, des coûts, et c’est inclus dans les coûts des service et d’abonnement des clients.

Pourquoi faire des efforts pour sécuriser leur service sachant que de toute façon, ce sont les clients qui payent ? C’est là où des lois pour forcer les entreprises à avoir des prérequis et des audits externes de sécurité prennent tout leur sens. Les clients n’ont pas le levier suffisant pour forcer la sécurité dans les entreprises et en plus, la plupart des gens n’est même pas consciente qu’elle paye les manques de sécurisation des entreprises de service.









damaki a écrit :



Tiens, c’est amusant. Je suis chez Orange et j’ai eu récemment eu la joie de découvrir que quelqu’un avait utilisé le service Contact+ pour me tirer 13€. Quand on juxtapose les piratages successifs d’Orange à ce genre d’arnaque, c’est fascinant…

Soit dit en passant, merci à Orange d’activer par défaut de tels services propices aux arnaques plutôt que de demander à l’utilisateur de l’activer sciemment







Et encore, c’est plus feinté que ça.

(je précise d’avance que je bosse au Service Client Pro Orange pour appuyer ce que je vais dire).



Le fait est que la session PPP d’un utilisateur va automatiquement loguer tout utilisateur de la LiveBox en ETH comme en WIFI (WIFI personnel, pas le HotSpot évidement).



Donc n’importe qui qui se connecte sur le WIFI de Pierre, Paul ou Jacques est reconnu sur le site d’Orange (Pro comme résidentiel, c’est différent pour les Business) peut avoir accès au compte du souscripteur, ainsi qu’à ses options & co’.



Et donc évidement le paiement sur internet par facturation sur sa ligne Orange via les Services “Internet +” & “Contact +” est de la partie.



Cela dit, il est improbable que l’on t’aie “volé” tes identifiants PPP (le FTI/ + MDP) puisque tu aurais des déconnexions & pertes de tes services (VoIP, TV, Internet, etc) et tu t’en serais bien rendu compte à mon avis ^^



Et il est tout aussi improbable que quelqu’un t’aie “volé” tes identifiants de ton compte Orange en ligne puisque même si la BDD Orange a été piratée, tout est chiffré.



Donc AMHA je t’invite à vérifier du côté des gens qui peuvent ou ont pu se balader sur ton réseaux local (que ce soit un voisin, un passant, ou même un ami lors d’une LAN chez toi).



D’expérience, et j’en vois tous les jours chez les Pro, personne n’est à l’abri d’un proche qui te rajoute un truc sur ta facture et dont tu ne pourra jamais rien prouver.





—————-&gt; La parade à cette arnaque est simple : aller sur son Webmail Orange, se balader dans les options du compte et créer une seconde adresse mail. Ainsi lors d’une tentative d’accès au Compte Orange, les gens devrons s’identifier obligatoirement sur l’une ou l’autre boite mail, et donc connaitre les logs :)





Pour terminer, il est vrai qu’Orange devrait désactiver ces deux services par défaut, mais il est tout autant vrai que personne ne devrait donner accès à son réseau local sans avoir confiance.



A supprimer ._.








philanthropos a écrit :



Et encore, c’est plus feinté que ça.

(je précise d’avance que je bosse au Service Client Pro Orange pour appuyer ce que je vais dire).



Le fait est que la session PPP d’un utilisateur va automatiquement loguer tout utilisateur de la LiveBox en ETH comme en WIFI (WIFI personnel, pas le HotSpot évidement).



Donc n’importe qui qui se connecte sur le WIFI de Pierre, Paul ou Jacques est reconnu sur le site d’Orange (Pro comme résidentiel, c’est différent pour les Business) peut avoir accès au compte du souscripteur, ainsi qu’à ses options & co’.



Et donc évidement le paiement sur internet par facturation sur sa ligne Orange via les Services “Internet +” & “Contact +” est de la partie.



Cela dit, il est improbable que l’on t’aie “volé” tes identifiants PPP (le FTI/ + MDP) puisque tu aurais des déconnexions & pertes de tes services (VoIP, TV, Internet, etc) et tu t’en serais bien rendu compte à mon avis ^^



Et il est tout aussi improbable que quelqu’un t’aie “volé” tes identifiants de ton compte Orange en ligne puisque même si la BDD Orange a été piratée, tout est chiffré.



Donc AMHA je t’invite à vérifier du côté des gens qui peuvent ou ont pu se balader sur ton réseaux local (que ce soit un voisin, un passant, ou même un ami lors d’une LAN chez toi).



D’expérience, et j’en vois tous les jours chez les Pro, personne n’est à l’abri d’un proche qui te rajoute un truc sur ta facture et dont tu ne pourra jamais rien prouver.





—————-&gt; La parade à cette arnaque est simple : aller sur son Webmail Orange, se balader dans les options du compte et créer une seconde adresse mail. Ainsi lors d’une tentative d’accès au Compte Orange, les gens devrons s’identifier obligatoirement sur l’une ou l’autre boite mail, et donc connaitre les logs :)





Pour terminer, il est vrai qu’Orange devrait désactiver ces deux services par défaut, mais il est tout autant vrai que personne ne devrait donner accès à son réseau local sans avoir confiance.





Ca je le savais, en effet. Un de mes potes a été presta admin réseau pour une petite clinique. Il me racontait qu’avant qu’il n’arrive (et ne crée un second compte mail) les clients avaient l’accès complet au site du modeste compte orange de la clinique.

Pour mon cas, je n’a pas trop d’idée sur le coupable, c’est bien pour ça que j’imaginais ça couplé à une faille de sécurité. Dans le doute, j’ai de toute façon changé le mot de passe du compte et revérifié que les numéros de tel et les adresses mails du compte étaient bien les miens.










Et encore, c’est plus feinté que ça.

(je précise d’avance que je bosse au Service Client Pro Orange pour appuyer ce que je vais dire).



Le fait est que la session PPP d’un utilisateur va automatiquement loguer tout utilisateur de la LiveBox en ETH comme en WIFI (WIFI personnel, pas le HotSpot évidement).



Donc n’importe qui qui se connecte sur le WIFI de Pierre, Paul ou Jacques est reconnu sur le site d’Orange (Pro comme résidentiel, c’est différent pour les Business) peut avoir accès au compte du souscripteur, ainsi qu’à ses options & co’.



Et donc évidement le paiement sur internet par facturation sur sa ligne Orange via les Services “Internet +” & “Contact +” est de la partie.





Perso je suis chez Bouygues et je fais fasse à un refus de me donner mes identifiants PPPOE, ce qui m’empêche même de me protéger de ce genre trucs…








flamwolf a écrit :



Perso je suis chez Bouygues et je fais fasse à un refus de me donner mes identifiants PPPOE, ce qui m’empêche même de me protéger de ce genre trucs…







Dans l’absolu, ils sont obligatoirement tenus de te les communiquer quoi qu’il se passe, le cas échéant, par courrier postal lent (entre 4 et 7 jours).





Nous on a un outils pour ça et en deux clics c’est réglé le client reçoit tout par courrier. C’est triste que Bouygues ne le fasse pas ou qu’il faille quémander pour ça.





Après, il faut savoir que la plupart des opérateurs ne donnerons (presque) jamais les ID PPPoE en “live” au téléphone (ce qui est compréhensible vu les risque que cela entraine).





Chez Orange on fait ce qu’on appelle une “identification forte” pour donner ces données : présence du propriétaire de la ligne au téléphone, confirmation de son identité, de son adresse postal et montant de la dernière facture.



Je suppose que ça doit être à peu près la même chose chez les autres FAI.









damaki a écrit :



Ca je le savais, en effet. Un de mes potes a été presta admin réseau pour une petite clinique. Il me racontait qu’avant qu’il n’arrive (et ne crée un second compte mail) les clients avaient l’accès complet au site du modeste compte orange de la clinique.

Pour mon cas, je n’a pas trop d’idée sur le coupable, c’est bien pour ça que j’imaginais ça couplé à une faille de sécurité. Dans le doute, j’ai de toute façon changé le mot de passe du compte et revérifié que les numéros de tel et les adresses mails du compte étaient bien les miens.







Dac.



Pour info’, tu peux toujours envoyer un e-mail à [email protected] (cf : http://assistance.orange.fr/1260) qui s’occupera du soucis et, si besoin est, contactera d’elle-même les autorités pour enquête.



Ces cellules existent chez tous les opérateurs : [email protected] - [email protected] - etc.



Je sais que ça peut paraître disproportionné, mais ces cellules sont là pour ça, alors n’hésite pas :)