Après une intrusion sur son site, Orange doit de nouveau faire face à un vol de données personnelles : nom, prénom, date de naissance, email ainsi que numéro de téléphone sont autant d'éléments qui ont pu être récupérés. L'ensemble des clients concernés a été contacté par l'opérateur.
Le message affiché sur le site d'Orange
Décidément, les mauvaises nouvelles s'enchaînent à un rythme relativement soutenu ces derniers mois. Entre Orange, LaCie, Heartbleed, France Inter, Internet Explorer, OAuth 2.0 et Open ID, la sécurité informatique n'est pas au meilleur de sa forme. Mais ce n'est pas tout puisqu'Orange vient de nouveau être victime d'un piratage.
Nouvelle fuite de données personnelles chez Orange, la deuxième en trois mois
Selon ses propres termes, l'opérateur annonce en effet que le 18 avril il a « constaté un accès illégitime sur une plateforme technique d'envoi de courriers électroniques et de SMS qu'elle utilise pour ses campagnes commerciales. Cet accès a entraîné la copie d'un nombre limité de données personnelles concernant des clients et des prospects ».
Il ajoute que « les données des personnes concernées sont les nom et prénom. Et, si ces informations ont été renseignées : adresse mail, numéro de mobile, numéro de téléphone fixe, l'opérateur mobile et internet et date de naissance ». Il s'agit donc des mêmes éléments que ceux liés à la faille de la page « Mon compte » de fin janvier.
Les conséquences sont donc exactement les mêmes : un risque de phishing de la part de personnes mal intentionnées. En effet, avec l'aide des données personnelles récupérées, il est relativement facile de se faire passer pour Orange afin de rediriger un utilisateur vers un site malveillant par exemple.
Les clients concernés sont directement informés
Bien évidemment, la faille a été colmatée et, « par souci de transparence, nous avons informé l'ensemble des personnes concernées de l'existence et de la résolution de ce fait » ajoute l'opérateur. Cette fois encore, Orange communique ouvertement sur le sujet, mais il est important de rappeler que c'est une obligation imposée par la CNIL. En effet, l'institution indique que les FAI et les opérateurs de téléphonie mobile ont l'obligation de le notifier une violation de données personnelles, elle se chargera alors de vérifier que les personnes concernées ont été correctement informées. Dommage d'ailleurs que les autres domaines liés à l'informatique, comme les banques, ne soient pas soumis aux mêmes règles.
L'opérateur termine enfin en indiquant que « plus que jamais, pour Orange, la sécurité des données est une priorité. Dans un contexte mondial sensible concernant cette question, Orange poursuit ses efforts afin de prévenir ce type de risque ». Le coup est néanmoins rude avec deux vols de données en un peu plus de trois mois, d'autant plus que lors du dernier show « Hello », Stéphane Richard, PDG de la société, signait en direct une charte dont laquelle il est stipulé que « nous vous garantissons la sécurité de vos données ».
Commentaires (40)
#1
Est il impossible de garantir la protection des données ? Si oui ? Il faudrait pouvoir empecher les sociétés de collecter des données personelle a notre insu …
Malheureusement, ca n’est pas dans l’interet de ces sociétés de ne pas faire de bigdata, ni dans celle du gouvernement (pourtant censé être le peuple).
Bref …
#2
#3
#4
Il ajoute que « les données des personnes concernées sont les nom et prénom. Et, si ces informations ont été renseignées : adresse mail, numéro de mobile, numéro de téléphone fixe, l’opérateur mobile et internet et date de naissance ».
Ah, ça explique pourquoi j’ai une recrudescence d’appels commerciaux sur ma ligne téléphonique Orange, celle dont je ne me sers jamais.
Après, mon courriel Orange, vu que je ne m’en sers pas non plus… Et comme je n’ai rien renseigné point de vue commercial chez eux, à part une fois où j’ai utilisé leur VOD par curiosité…
Mais bon, ça fait quand même tâche ce genre de gag…
#5
constaté un accès illégitime sur une plateforme technique d’envoi de courriers électroniques et de SMS qu’elle utilise pour ses campagnes commerciales
Ca ressemble à CEO comme description : www.contact-everyone.fr
Si c’est le cas, c’est moins grave que ce que certaines personnes pourraient penser. En gros le gars en question n’a pas accédé au saint des saint qu’est la base des utilisateurs mobile/internet. Ca reste problématique mais moins grave que ce que je pensais en lisant le titre :p
#6
#7
Un accès root / root n’est pas illégitime " />
#8
Dommage qu’Orange ne donne pas plus d’informations. Il semble que le souci ne se situe pas chez Orange mais chez une entreprise tierce. Il n’est pas rare que les opérateurs externalisent la gestion des offres commerciales, typiquement M6 Mobile, Virgin et NRJ ou encore Bouygues. Pour la petite anecdote, NRJ et Virgin gérés par NetSize externalisaient cette gestion qui passait au final par un broker autre que NetSize. " />
#9
#10
#11
#12
#13
#14
#15
#16
Effectivement on peut dire qu’Orange se soucie beaucoup des données personnelles de ses clients. C’est d’ailleurs pour cela sans doute que la DGSE a un accès illimité à toutes ces données, sans cadre légal, pour mieux ficher la population et même partager avec les services secrets britanniques.
http://www.lemonde.fr/international/article/2014/03/20/dgse-orange-des-liaisons-…
#17
#18
#19
#20
#21
#22
#23
#24
#25
#26
#27
Vous comprenez maintenant ce que veut dire open data Données Ouvertes " />
" />
#28
#29
ha punaise , depuis quelques jours j’ai mon mail orange un peu spammé alors que ce n’était pas du tout le cas jusque là…
ben je sais pourquoi maintenant " />
#30
#31
C’est pas open data
c’est data in the open
" />
#32
#33
#34
#35
#36
#37
#38
dit en mode anti-bisounours, la législation doit me protéger.
#39
#40