L’opérateur Orange a reconnu une intrusion dans ses systèmes. Une petite proportion de la clientèle de la messagerie d’Orange aurait été affectée.
Orange vient de signaler à ces clients une intrusion dans ses bases de données ayant entraîné un vol de données clients. « Nous avons été la cible d’une intrusion informatique le 16 janvier 2014 à partir de la page ‘Mon Compte’ de l’Espace Client du site orange.fr », précise l’opérateur dans un e-mail envoyé à ses clients. Orange a renforcé la sécurité IT pour mettre un terme à cette attaque qui pourrait servir à des campagnes de phishing. « Vos mots de passe ne sont pas concernés, leur intégrité n’est pas remise en cause », peut-on lire dans le mail d’Orange.
L’opérateur cherche à relativiser la portée: « Cet incident a consisté en la récupération éventuelle d’un nombre limité [sic] de données personnelles vous concernant ou concernant votre foyer. Il peut s’agir des noms, prénoms, adresse postale, adresse mail de contact, numéro de téléphone (fixe ou mobile) ou des informations que vous auriez pu déclarer (composition du foyer, nombre d’abonnements Orange ou concurrents, informations concernant vos préférences de contact) ».
Mais il vaut mieux rester prudent. Dans l’espace entraide du service de messagerie, un utilisateur surnommé « Moustaches » indiquait ceci dans un message posté ce matin : « Je viens de recevoir un message frauduleux de gens qui se font passer pour Orange et sous le motif de reconstituer les fichiers clients demandent d’adresser un certaines d’informations personnelles : identité, adresse mél, mot de passe…Soyez vigilants. » Mais l’équipe de modération suit cela de près et renvoit vers la page d’information d’Orange sur le phishing.
Contacté par PCimpact , Laurent Benatar, Directeur technique d’Orange, assure que moins de 3% des abonnés auraient été affectés. Les clients affectés seront contactés par l’opérateur afin qu’ils modifient leurs codes d’accès.
Début décembre 2013, la messagerie d’Orange avait évolué en termes de capacité : 10 Go par client contre 5 auparavant. Les pièces jointes de plus grande taille sont également acceptées : 25 Mo contre 20 Mo auparavant.
On est loin de l'affaire des 16 millions d'adresses de boites mails piratés en Allemagne mais quand même
Orange met en place une cellule d’accompagnement pour les 800 000 clients piratés
Vendredi dernier,nous apprenions, que la page « Mon Compte » de l’Espace Client du site orange.fr, avait été piratée le 16 janvier dernier.
Dans un mail , qui a été envoyé aux 800 000 clients impactés (soit 3 % des clients d’Orange), l’opérateur indique que cet incident a consisté à récupérer, éventuellement, un nombre limité de données personnels, concernant certains clients ou foyers.
Il peut s’agir des noms, prénoms, adresse postale, adresse mail de contact, RIB tronqué (non utilisable), numéro de téléphone (fixe ou mobile) ou des informations que les clients ont pu déclarer (comme la composition du foyer, le nombre d’abonnements Orange ou concurrents).
Même si aucune action des clients n’est requise, Orange annonce ce jour, qu’il a souhaité informer ces clients en toute transparence de l’existence et de la résolution de ce fait.
Une assistance cellule d’accompagnement dédiée a par ailleurs été mise en place pour les clients concernés.
Le 16 janvier dernier, la page « Mon Compte » a été fermée et des mesures techniques ont été immédiatement mises en œuvre pour mettre fin à l’intrusion.
Cette intrusion a pu être limitée grâce aux actions prises et à la politique de sécurité menée depuis plusieurs années afin de prévenir ce type de risques.
Les intrusions de ce type servent principalement à alimenter le phishing. Un message d’alerte phishing est donc en place en home du portail orange.fr en prévention et information auprès de nos clients.
Orange précise regretter sincèrement cet incident et que la sécurité des données est plus que jamais une priorité.
L’affaire a fait le tour des médias, inquiète les clients et embarrasse Orange.
Le jeudi 16 janvier, Orange a été victime d’un piratage sur la page « Mon Compte » de l’Espace Client du site orange.fr. 14 jours plus tard, sans aucune communication officiel de la part d’Orange,nous apprenions via nos confrères de PC Inpact, l’existence de cette affaire.
Rappel des faits
- Jeudi 16 janvier : Orange est victime d’une attaque sur la page « Mon Compte » de l’Espace Client du site orange.fr. La page est fermée et des mesures techniques ont été immédiatement mises en oeuvre pour mettre fin à l’intrusion.
- Jeudi 23 janvier : Une semaine après l’attaque, Orange remet en service la page « Mon Compte ».
- Jeudi 23 et vendredi 24 janvier : Orange envoie un mail aux clients concernés par cette attaque. L’opérateur ne parle pas encore d’une intrusion. Pour Orange il s’agit d’appeler à la vigilance. Ce dernier indique que 3% de ces clients (environ 800 000 clients) ont été impactés.
L’opérateur précise que cet incident a consisté à récupérer un nombre limité de données personnelles, concernant certains clients ou foyers. Il peut s’agir des noms, prénoms, adresse postale, adresse mail de contact, RIB tronqué (non utilisable), numéro de téléphone (fixe ou mobile) ou des informations que les clients ont pu déclarer (comme la composition du foyer, le nombre d’abonnements Orange ou concurrents).
Orange met également en place un message de prévention sur sa page d’Accueil concernant une alerte aux Phishing.
- Jeudi 30 janvier : 14 jours après les faits, PC Inpactdévoilent cette attaque. Ces derniers ont pu contacter Laurent Benatar (qui est le directeur technique d’Orange). Il confirme l’intrusion et indique qu’après la découverte de l’attaque, la page « Mon Compte » a été rapidement fermée par précaution. Il précise également que la faille a été colmatée au bout de quelques heures et qu’une plainte a été déposée. Une cellule d’accompagnement dédiée a par ailleurs été mise en place pour les clients concernés.
- Lundi 03 février : Devant l’ampleur médiatique que prend l’affaire, Orange communique enfin de manière plus officielle mais pas par un communiqué de presse. Sur le site Orange.fr, un message un peu plus clair est désormais visible : Orange vous informe à propos de l’incident sur la page « mon compte ». Une actualité est également postée sur le site du groupe Orange.com . La Direction Centrale du Renseignement Intérieur à par ailleurs été saisie de l’affaire. La CNIL de son côté a réuni tous les opérateurs afin de leurs rappeler leurs obligations en matière de violations de données personnelles.
- Vendredi 07 février : En déplacement à Rennes avec le ministre de la Défense, le PDG d’Orange est revenu sur le piratage des 800 000 comptes survenus le 16 janvier dernier. Pour le PDG d’Orange, l’opérateur n’est pas immunisé contre toutes les intrusions possibles, malgré tous les efforts et précautions déployés par ce dernier.
Que faire si vous avez été victime :
Les donnés récupérées peuvent servir aux Phishing (hameçonnage). Les personnes concernées ont été informées et un accompagnement dédié a par ailleurs été mis en place par Orange (quelques exemples de phishing sont disponibles sur cette page de l’assistance d’Orange)
A noter, qu’Orange, comme la plupart des grandes entreprises, banques ou organismes officiels, ne vous contactera jamais par mail ou par SMS pour vous demander spécifiquement un mot de passe ou un numéro de carte bancaire. Par téléphone, Orange ne vous contactera jamais dans le seul but d’obtenir ces d’informations.
Si vous avez été victime de Phishing, n’hésitez pas à transférer le ou les mails en questions à abuse@orange.fr.
La communication ratée d’Orange ?
18, c’est le nombre de jours qu’il aura fallu à Orange pour communiquer « officiellement » aux grand public sur cette intrusion.
Orange est embarrassé par cette affaire. En effet, en novembre dernier, Stéphane Richard avait annoncé lors du Show Hello ! s’engagé sur le respect de la vie privée « Nous vous garantissons la sécurité de vos données« . Une annonce qui avait été faite lors de la présentation de l’application « Données Perso ».
Cependant, Orange n’a pas voulu camouflé l’affaire puisque les clients concernés ont été avertis, comme nous le souligne le rédacteur en chef adjoint de PC Inpact joint par Orange info :
« Orange n’a nullement caché quoi que ce soit. Ils ont communiqué le mail à leur client (comme ils y sont obligés en cas de pareille intrusion) et nous leur avons demandé plus de détails. Dans un premier temps nous n’avions pas eu de réponse concrète, mais cela a été le cas en milieu de journée, nous avions alors mis notre actualité à jour. L’information est venue justement de ce mail dont nous avons eu connaissance par une personne touchée« .
En conclusion, l’opérateur a sans doute voulu communiquer en douceur afin de ne pas semer la panique chez ces clients.
Quatre mois après une première intrusion chez Orange qui avait vu le vol de données pour 800 000 de ses clients, nous apprenons que l’opérateur historique a été une nouvelle fois victime d’un acte de piratage.
Selon Orange, une intrusion a eu lieu sur un serveur d’envoi de courriers électroniques et de sms aux clients. Selon certaines informations, ce sont 1,3 millions de données qui ont été dérobées avec au moins les noms et prénoms. Dans les cas où cela avait été renseigné dans le compte client, les pirates ont également eu accès aux numéros de téléphones fixes et portables, aux adresses mails, l’opérateur internet et mobile ainsi qu’à la date de naissance.Les informations bancaires ont été épargnées.
Orange avertit donc ses clients sur une page spéciale que ceux-ci pourraient recevoir des courriels ou des sms de phishing. Faites donc preuve de prudence dans le cas ou vous recevrez un tel message suspect. Orange ne demande pas d’informations personnelles dans les messages. Vérifiez également les liens si vous recevez un tel message.
