Ce week-end du 1er mai n’a sans doute pas été de tout repos pour les équipes de cybersécurité d’Orange. Ce vendredi de fête des travailleurs, un cybercriminel a posté un message sur un forum indiquant être en mesure de fournir des accès administrateurs aux systèmes de l’opérateur selon French Breaches.
Un accès à un outil interne
Les images fournies par le hacker montrent le CRM GP de l’opérateur historique, l’outil de gestion de la relation client grand public d’Orange. En d’autres termes, le hacker a accès aux mêmes outils que les vendeurs en boutique de l’opérateur.
Techniquement, il a donc accès aux fiches des clients de l’opérateur qui indiquent le nom/prénom, la date de naissance, les moyens de contact ainsi que d’autres informations comme les forfaits possédés avec l’engagement restant, l’éligibilité, la consommation VOD mais aussi des données techniques comme le numéro client, le numéro de ligne support, le numéro de compte et l’adresse IP de la Livebox et enfin les dernières factures.
Sur les captures visibles, on peut notamment apercevoir la consommation de la VOD pour les mois de décembre et novembre 2025 ainsi que des factures datant de 2025, ce qui pourrait donc dire que l’accès a maintenant plusieurs mois et a eu lieu en janvier de cette année.
Une adresse est également en partie visible avec ce qui ressemblerait plutôt à un accès à un domaine interne à l’opérateur avec le .ftgroup, sans savoir avec certitude si c’est de l’extranet ou de l’intranet.
Il se pourrait donc que le compte d’un vendeur Orange ait été compromis et que le hacker puisse accéder seulement à ces données, ce qui représente déjà beaucoup puisque les informations disponibles pourraient permettre de lancer des attaques par phishing ultraprécises.
Côté piratage, il n’est pas possible de télécharger des fiches clients par ce biais, il faut chercher un numéro de téléphone ou un nom/prénom pour avoir accès à la fiche, ce qui limite au moins en partie la disponibilité des données à grande échelle.
Reste à voir maintenant comme le hacker a pu obtenir cet accès, que cela soit via du phishing, par ruse ou via des codes affichés au grand jour ou la revente de la part d’un employé de l’opérateur.
Pas très rassurant pour l’opérateur censé être premium…