Après une intrusion sur son site, Orange doit de nouveau faire face à un vol de données personnelles : nom, prénom, date de naissance, email ainsi que numéro de téléphone sont autant d'éléments qui ont pu être récupérés. L'ensemble des clients concernés a été contacté par l'opérateur.
Le message affiché sur le site d'Orange
Décidément, les mauvaises nouvelles s'enchaînent à un rythme relativement soutenu ces derniers mois. Entre Orange, LaCie, Heartbleed, France Inter, Internet Explorer, OAuth 2.0 et Open ID, la sécurité informatique n'est pas au meilleur de sa forme. Mais ce n'est pas tout puisqu'Orange vient de nouveau être victime d'un piratage.
Nouvelle fuite de données personnelles chez Orange, la deuxième en trois mois
Selon ses propres termes, l'opérateur annonce en effet que le 18 avril il a « constaté un accès illégitime sur une plateforme technique d'envoi de courriers électroniques et de SMS qu'elle utilise pour ses campagnes commerciales. Cet accès a entraîné la copie d'un nombre limité de données personnelles concernant des clients et des prospects ».
Il ajoute que « les données des personnes concernées sont les nom et prénom. Et, si ces informations ont été renseignées : adresse mail, numéro de mobile, numéro de téléphone fixe, l'opérateur mobile et internet et date de naissance ». Il s'agit donc des mêmes éléments que ceux liés à la faille de la page « Mon compte » de fin janvier.
Les conséquences sont donc exactement les mêmes : un risque de phishing de la part de personnes mal intentionnées. En effet, avec l'aide des données personnelles récupérées, il est relativement facile de se faire passer pour Orange afin de rediriger un utilisateur vers un site malveillant par exemple.
Les clients concernés sont directement informés
Bien évidemment, la faille a été colmatée et, « par souci de transparence, nous avons informé l'ensemble des personnes concernées de l'existence et de la résolution de ce fait » ajoute l'opérateur. Cette fois encore, Orange communique ouvertement sur le sujet, mais il est important de rappeler que c'est une obligation imposée par la CNIL. En effet, l'institution indique que les FAI et les opérateurs de téléphonie mobile ont l'obligation de le notifier une violation de données personnelles, elle se chargera alors de vérifier que les personnes concernées ont été correctement informées. Dommage d'ailleurs que les autres domaines liés à l'informatique, comme les banques, ne soient pas soumis aux mêmes règles.
L'opérateur termine enfin en indiquant que « plus que jamais, pour Orange, la sécurité des données est une priorité. Dans un contexte mondial sensible concernant cette question, Orange poursuit ses efforts afin de prévenir ce type de risque ». Le coup est néanmoins rude avec deux vols de données en un peu plus de trois mois, d'autant plus que lors du dernier show « Hello », Stéphane Richard, PDG de la société, signait en direct une charte dont laquelle il est stipulé que « nous vous garantissons la sécurité de vos données ».