Tous les grands opérateurs sont aussi concernés par le piratage de données, et SFR plus que les autres semble-t-il. Mais quelles sont les parades ?
Un piratage de données vient de concerner une entreprise de télécommunication parmi les plus connues. SFR a communiqué auprès de ses abonnés concernés « un incident de sécurité portant sur un outil de gestion de commandes de ses clients ».
En d’autres termes, des pirates informatiques ont pu s’introduire dans le système informatique d’un prestataire de SFR (comme cela avait déjà été le cas avec France Travail il y a quelque temps) pour accéder aux données des clients. Données plus que sensibles puisque contenant entre autres l’identité, l’IBAN, le numéro de téléphone et l’email ! Au total, près de 50 000 clients seraient concernés, comme l’a découvert un certain SaxX, expert en cybersécurité indépendant très actif sur les réseaux sociaux.
Voilà donc une mauvaise publicité pour SFR qui avait déjà été victime cet été 2024 d’un vol massif de données… Ce tout dernier piratage en date serait lui à mettre sur le compte d’un groupe de hackers français, peu connu et relativement « jeune ». Se dénommant eux-mêmes le « French Hackers Squad », ceux-là utiliseraient la technique du scraping. Il s’agit d’un procédé automatisé qui permet d’extraire des informations personnelles de sites web via des logiciels légaux, voire des malwares autrement plus obscures… voire des complicités internes.
Que font-ils de nos IBAN et email ?
Certes, avec un IBAN seul, un hacker ne peut rien faire… en tout cas sans l’accord du détenteur du compte ! Puisque transférer de l’argent d’un compte à un autre (mandat SEPA) n’est possible qu’à condition que le propriétaire du compte débité l’autorise. Ce qui suppose malgré tout d’avoir les idées bien claires à la moindre sollicitation par mail ou sms… pour ne pas valider le premier paiement venu (ce qui arrive pourtant régulièrement).
Evidemment, changer d’adresse email ou au moins créer des alias est rapide, et on peut aussi être tenté de changer d’IBAN et/ou de RIB. Malheureusement, changer ses numéros bancaires est impossible sur un compte déjà créé… Changer son IBAN nécessite donc de créer un nouveau compte, ce qui suppose entre autres de devoir mettre à jour tous les virements récurrents. Mais en fonction des banques, les conseillers peuvent vous accompagner gratuitement sur ces transferts de prélèvements, à voir donc.
Par ailleurs, en cas de doute, prendre l’habitude d’utiliser des solutions de paiement alternatives et sécurisées (comme Paypal ou les cartes virtuelles par exemple) peut aussi vous éviter bien des tracas.
Piratage de données : 8 internautes sur 10 concernés !
On le sait, le piratage de données via internet alimente surtout les tentatives d’escroquerie par phishing. Ces fameux mails frauduleux reprennent tous les codes visuels de votre banque et vous demandent par exemple de cliquer sur un lien puis d’entrer vos codes pour une mise à jour de cotre compte bancaire, ou autre… Puisque les escrocs vous connaissent grâce à vos informations volées, ils peuvent aussi se faire passer pour de faux conseillers bancaires au téléphone et tenter là encore de vous détrousser.
Cela fait donc désormais partie de notre vie sur le web, cette vigilance que nous ne devons jamais oublier. Selon SaxX, les informations personnelles de pas moins de huit internautes sur dix circuleraient déjà sur internet… Mieux vaut donc rester plus que prudent et s’informer sur les bons réflexes à adopter… à lire sur le blog wiclic.fr entre autres !
Bon à savoir (aussi) : Différents services proposent de vérifier si vos données personnelles ont été volées. Il suffit d’entrer votre email pour obtenir un rapport, comme par exemple sur www.f-secure.com.
L’annonce officielle SFR à ses clients :
Cher client,
Le 3 septembre dernier, SFR a détecté un incident de sécurité portant sur un outil de gestion de commandes de ses clients.
Cet incident a entraîné un accès externe non autorisé à des données personnelles vous concernant.
Il s’agit exclusivement des données suivantes : nom, prénom, coordonnées renseignées au moment de la commande (numéro de téléphone, adresse électronique et postale, adresse de livraison le cas échéant), données contractuelles (offre souscrite, contenu de la commande), IBAN, ainsi que le numéro d’identification du terminal et de la carte SIM (pour les commandes de terminal mobile).
Aucun autre type de données n’est concerné, tel que mot de passe, détail de vos appels ou contenu de vos SMS.
Dans la journée même de sa détection, SFR a pris toutes les mesures nécessaires permettant de clore définitivement l’incident rencontré.
SFR a également immédiatement renforcé ses procédures d’authentification pour toute demande de modification de coordonnées de contact.
Enfin, cet incident a été notifié par SFR à la CNIL et a fait l’objet d’un dépôt de plainte auprès du Procureur de la République.
Si vous deviez subir des désagréments faisant suite à cet incident tels que phishing (hameçonnage par e-mail), smishing (hameçonnage par SMS) ou des tentatives d’accès frauduleux à des informations personnelles, nous nous tenons à votre disposition pour vous accompagner.