Cet article date de plus d'onze ans.

Trois questions sur le piratage des données personnelles de clients d'Orange

Une intrusion a eu lieu dans les bases de données de l'opérateur. Quelque 800 000 clients sont concernés.

franceinfo avec AFP et Reuters

France Télévisions

Publié le 03/02/2014 15:45 Mis à jour le 03/02/2014 15:46

Temps de lecture : 3min

Le sigle d'une boutique Orange à Paris, le 19 juillet 2012. (ANA AREVALO / AFP)

"Cher(e) client(e), Orange a été la cible d'une intrusion informatique jeudi 16 janvier à partir de la page "Mon compte"". "En toute transparence", Orange, qui affirme avoir porté plainte, a confirmé par mail à ses quelque 800 00 clients concernés, dimanche 2 février, le piratage d'une partie de leurs données personnelles. Lesquelles ? Comment ont-elles été récupérées ? Eléments de réponse.

Qui est concerné ?

Selon PCINpact, qui a révélé l'information, il s'agit des clients internet de l'entreprise. Seuls 3% des clients d'Orange sont touchés, ce qui représente un peu moins de 800 000 personnes.

Ces derniers, et uniquement ceux-là, ont été informés de la situation par le fournisseur d'accès à internet (FAI) via un e-mail. Si vous n'avez rien reçu, vous n'êtes pas concernés.

Quels types de données ont été piratés ?

Selon l'opérateur, "cet incident a consisté en la récupération d'un nombre limité de données personnelles" : noms, prénoms, adresse postale, mails, numéros de téléphone fixe et mobile, mais aussi des informations complémentaires que les clients ont pu indiquer, telles que la composition de leur foyer ou le nombre d'abonnements Orange ou concurrents.

Concernant les informations sensibles comme les RIB ou les mots de passe, elles ne sont pas concernées, affirme Orange. En effet, selon Laurent Benatar, directeur technique d'Orange interviewé par PCINpact, certains chiffres sont remplacés par des *** dans la base de données, et les informations piratées sont ainsi inutilisables en l'état. "L'intégrité" des mots de passe n'est "pas remise en cause", précise encore le FAI.

Quelles sont les conséquences ?

Grâce aux données récoltées, les pirates pourraient mettre en place des tentatives de phishing. Cette technique de piratage très répandue vise à recueillir des informations confidentielles (codes d'accès ou mots de passe) grâce à l'envoi d'e-mails ayant l'apparence de ceux envoyés par des banques ou des opérateurs tels qu'Orange. Les victimes trompées par la qualité supposée de l'expéditeur fournissent elles-mêmes leurs propres données personnelles.

Orange a mis en garde tous ses clients en leur indiquant des exemples de phishing. De son côté, la gendarmerie française consacre une page spéciale à cette technique, avec les conseils suivants : "Ne cliquez pas directement sur le lien contenu dans le mail, mais ouvrez votre navigateur et saisissez vous-même l'adresse URL d'accès au service". Mais aussi : "Méfiez-vous des formulaires demandant des informations bancaires", ou sensibles, qu'il est impossible de vous demander par ce biais-là.