La CNIL réunit les opérateurs téléphoniques suite à une cyber-attaque chez Orange

Ecrit par Protéger Son Image le 5 mars 2014
Actualités | Données personnelles | Vie privée 2 commentaires
La CNIL réunit les opérateurs téléphoniques suite à une cyber-attaque chez Orange

La CNIL (Commission nationale de l’informatique et des libertés) est un organe administratif indépendant créé en juin 1978 afin de garantir un développement informatique national dans le respect de la vie privée, des droits de l’homme et des libertés individuelles et collectives. Sa mission est d’informer les citoyens de leurs droits, de les protéger contre l’exploitation de leurs données privées et de contrôler l’application des lois sur les traitements informatiques.

Début février, le site internet Pcinpact révélait que l’opérateur téléphonique Orange avait été victime, le 16 janvier, d’un piratage des données personnelles de ses clients à partir de la page « Mon compte » de son site. 800 000 personnes auraient été touchées. 3% des clients de la société se sont fait pirater leurs noms, prénoms, adresse postale et email, numéros de téléphone…

 

Un plan d’urgence pour informer des risques encourus

L’affaire a rapidement été prise en main et Orange a mis en place un plan d’urgence pour assister ses clients. La page « Mon compte » a été momentanément fermée et une cellule d’accompagnement a été mise en place. Les clients touchés ont tous reçu un email les informant de la situation. Une page a été créée sur le site d’Orange pour avertir les utilisateurs des risques du phishing et comment les prévenir.

Le phishing est le nom donné à une technique utilisée par les fraudeurs : se faire passer pour des interlocuteurs de confiance dans le but de soutirer des renseignements personnels aux utilisateurs. Les cybercriminels les attirent ainsi sur des faux sites et les incitent à fournir leurs mots de passe ou coordonnées bancaires.

Pour lutter contre ce fléau, Orange prévient par des mises en garde simples. La société rappelle, par exemple, qu’elle ne demandera jamais à ses utilisateurs de lui fournir des informations personnelles par téléphone ou par email, ou encore qu’elle ne communique jamais avec ses clients en anglais.

 

Appel à la prudence

Le lendemain du piratage, Orange a ainsi alerté la CNIL et une plainte a été déposée. Le dossier est actuellement en cours d’instruction. Suite à cette affaire, la CNIL a réuni les principaux opérateurs de communication électronique français afin de passer en revue leurs obligations en matière de sécurisation des données de leurs clients et discuter des règles à appliquer dans ce type de situation. Elle leur a rappelé que depuis 2011, les opérateurs se trouvent dans l’obligation de notifier la commission de ce type de violation – obligation qu’a respecté Orange dès le lendemain de l’attaque – et qu’une téléprocédure sécurisée a été mise en place dans cet objectif. La CNIL s’est ainsi fait un devoir de réinformer les opérateurs du cadre légal et réglementaire de ce type d’accident, de leur rappeler leurs responsabilités envers leurs clients en cas de violation et les moyens de contrôle dont elle dispose.

Au-delà de la rencontre avec les opérateurs, la commission, tout comme Orange, invite tous les consommateurs à être prudent, à ne pas ouvrir de courriers électroniques suspects ni cliquer sur des liens contenus dans ces emails. L’enquête sur la cyber attaque est à présent dans les mains de la DCRI (Direction centrale du renseignement intérieur).

Le PDG d’Orange, Stéphane Richard, avait quelques mois plus tôt tenu à rassurer ses clients sur la protection de leurs données – un sujet de plus en plus « fondamental » pour lui – qu’il affirme être garantie par un lien permanent entre l’opérateur et ses clients. Une garantie qui semble, après cela, être à revoir…