Retour sur le piratage chez Orange

L’affaire a fait le tour des médias, inquiète les clients et embarrasse Orange.

Le jeudi 16 janvier, Orange a été victime d’un piratage sur la page « Mon Compte » de l’Espace Client du site orange.fr. 14 jours plus tard, sans aucune communication officiel de la part d’Orange, nous apprenions via nos confrères de PC Inpact, l’existence de cette affaire.

Rappel des faits

– Jeudi 16 janvier : Orange est victime d’une attaque sur la page « Mon Compte » de l’Espace Client du site orange.fr. La page est fermée et des mesures techniques ont été immédiatement mises en oeuvre pour mettre fin à l’intrusion.

– Jeudi 23 janvier : Une semaine après l’attaque, Orange remet en service la page « Mon Compte ».

– Jeudi 23 et vendredi 24 janvier : Orange envoie un mail aux clients concernés par cette attaque. L’opérateur ne parle pas encore d’une intrusion. Pour Orange il s’agit d’appeler à la vigilance. Ce dernier indique que 3% de ces clients (environ 800 000 clients) ont été impactés.

L’opérateur précise que cet incident a consisté à récupérer un nombre limité de données personnelles, concernant certains clients ou foyers. Il peut s’agir des noms, prénoms, adresse postale, adresse mail de contact, RIB tronqué (non utilisable), numéro de téléphone (fixe ou mobile) ou des informations que les clients ont pu déclarer (comme la composition du foyer, le nombre d’abonnements Orange ou concurrents).

Orange met également en place un message de prévention sur sa page d’Accueil concernant une alerte aux Phishing.

– Jeudi 30 janvier : 14 jours après les faits, nos confrères de PC Inpact dévoilent cette attaque. Ces derniers ont pu contacter Laurent Benatar (qui est le directeur technique d’Orange). Il confirme l’intrusion et indique qu’après la découverte de l’attaque, la page « Mon Compte » a été rapidement fermée par précaution. Il précise également que la faille a été colmatée au bout de quelques heures et qu’une plainte a été déposée. Une cellule d’accompagnement dédiée a par ailleurs été mise en place pour les clients concernés.

– Lundi 03 février : Devant l’ampleur médiatique que prend l’affaire, Orange communique enfin de manière plus officielle mais pas par un communiqué de presse. Sur le site Orange.fr, un message un peu plus clair est désormais visible : Orange vous informe à propos de l’incident sur la page « mon compte ». Une actualité est également postée sur le site du groupe Orange.com. La Direction Centrale du Renseignement Intérieur à par ailleurs été saisie de l’affaire. La CNIL de son côté a réuni tous les opérateurs afin de leurs rappeler leurs obligations en matière de violations de données personnelles.

– Vendredi 07 février : En déplacement à Rennes avec le ministre de la Défense, le PDG d’Orange est revenu sur le piratage des 800 000 comptes survenus le 16 janvier dernier. Pour le PDG d’Orange, l’opérateur n’est pas immunisé contre toutes les intrusions possibles, malgré tous les efforts et précautions déployés par ce dernier.

Que faire si vous avez été victime :

Les donnés récupérées peuvent servir aux Phishing (hameçonnage). Les personnes concernées ont été informées et un accompagnement dédié a par ailleurs été mis en place par Orange (quelques exemples de phishing sont disponibles sur cette page de l’assistance d’Orange)

A noter, qu’Orange, comme la plupart des grandes entreprises, banques ou organismes officiels, ne vous contactera jamais par mail ou par SMS pour vous demander spécifiquement un mot de passe ou un numéro de carte bancaire. Par téléphone, Orange ne vous contactera jamais dans le seul but d’obtenir ces d’informations.

Si vous avez été victime de Phishing, n’hésitez pas à transférer le ou les mails en questions à abuse@orange.fr.

La communication ratée d’Orange ?

18, c’est le nombre de jours qu’il aura fallu à Orange pour communiquer « officiellement » aux grand public sur cette intrusion.

Orange est embarrassé par cette affaire. En effet, en novembre dernier, Stéphane Richard avait annoncé lors du Show Hello ! s’engagé sur le respect de la vie privée « Nous vous garantissons la sécurité de vos données« . Une annonce qui avait été faite lors de la présentation de l’application « Données Perso ».

Cependant, Orange n’a pas voulu camouflé l’affaire puisque les clients concernés ont été avertis, comme nous le souligne le rédacteur en chef adjoint de PC Inpact joint par Orange info :

« Orange n’a nullement caché quoi que ce soit. Ils ont communiqué le mail à leur client (comme ils y sont obligés en cas de pareille intrusion) et nous leur avons demandé plus de détails. Dans un premier temps nous n’avions pas eu de réponse concrète, mais cela a été le cas en milieu de journée, nous avions alors mis notre actualité à jour. L’information est venue justement de ce mail dont nous avons eu connaissance par une personne touchée« .

En conclusion, l’opérateur a sans doute voulu communiquer en douceur afin de ne pas semer la panique chez ces clients.