Après avoir été victime d’une cyber-attaque touchant près de 800 000 clients en février, l’opérateur téléphonique Orange vient de reconnaître avoir été à nouveau la cible de hackers, via sa plateforme technique d’envoi de courriers électroniques et de SMS servant à envoyer des offres commerciales. Cette fois, près de 1,3 million de clients et de prospects sont concernés par ce vol massif de données personnelles, parmi lesquelles les noms et prénoms des utilisateurs ainsi que des adresses e-mails, dates de naissance et numéros de téléphone lorsqu’ils ont été renseignés. Alors que l’attaque a été découverte le 18 avril dernier, Orange a attendu le lundi 05 mai pour divulguer cette violation. Le risque majeur aujourd’hui réside dans le fait que ces informations ont déjà pu ou peuvent être utilisées à des fins de phishing – campagne visant généralement à récolter des données personnelles telles que les identifiants et mots de passe afin d’infiltrer les services informatiques – ou pour l’usurpation d’identité qui peut avoir de lourdes conséquences.
Jean-Pierre Carlin, Directeur Europe du Sud chez LogRhythm, a fait les commentaires suivants :
« Avec le vol de données de plus d’1,3 million de clients, nous pouvons considérer qu’il s’agit d’une attaque de grande envergure. La situation est relativement alarmante d’autant plus qu’il s’agit de la seconde intrusion en moins de trois mois pour l’opérateur. Cela devrait servir d’exemple aux entreprises et organisations, toutes susceptibles d’être touchées par ce type d’attaque. Les cybercriminels de plus en plus expérimentés s’appuient en grande majorité sur « la faille humaine » pour subtiliser les données. Malgré l’apparence anodine de ce vol de données, il est impératif d’avertir les cibles potentielles dès que possible afin de prévenir les risques de phishing. Il est également essentiel de communiquer rapidement afin de rassurer et surtout d’informer en toute transparence les clients et les accompagner dans la protection de leurs données.
Si Orange déclare avoir mis en place toutes les actions nécessaires pour corriger les dysfonctionnements techniques et empêcher un nouvel accès à ces données, l’opérateur et les entreprises susceptibles d’être victimes de ce type d’attaque doivent en tirer des leçons et renforcer la sécurité des données des utilisateurs. Quelle que soit la manière dont se produit une cyber-attaque, il faut être en mesure de la détecter et d’y remédier immédiatement. La surveillance proactive, continue et en temps réel sur le réseau est le seul moyen d’y parvenir, et permet également d’identifier le moindre comportement anormal qui laisserait présager une menace. Les organisations doivent déployer des systèmes de défense performants afin d’être en mesure de repérer et de combattre une attaque dès qu’elle se produit – pas une fois qu’il est trop tard, surtout dans un contexte où la question n’est plus de savoir « si » mais plutôt « quand » elle aura lieu.
Alors qu’en novembre dernier Stéphane Richard, PDG d’Orange, promettait un renforcement des protections des données privées de ses clients via la signature d’une charte, il devient urgent de renforcer la loi de transparence des entreprises et des organisations européennes relative aux cyber-attaques. Si depuis 2011 la CNIL (Commission Nationale Informatique et Liberté) impose aux fournisseurs de services de communications électroniques de prévenir de toute violation de données, le gouvernement se doit d’accélérer la mise en œuvre des lois obligatoires de divulgations de données afin d’inciter l’ensemble des organisations à mieux protéger les données de leurs clients. »