Pourquoi la fuite des données d'Orange ne doit pas (trop) vous inquiéter

Un e-mail, un SMS, un coup de téléphone douteux, où l'on vous demande votre numéro de carte bancaire ? Cela vous est peut-être déjà arrivé. L'arnaqueur, qui a au préalable obtenu votre nom, votre adresse e-mail et votre numéro de téléphone, se fait passer pour votre banque ou votre opérateur afin de récolter vos coordonnées bancaires. Si vous êtes abonné d'Orange, vous êtes susceptible de recevoir des messages ou des appels frauduleux dans les jours qui viennent. L'opérateur a en effet révélé que, à la suite d'une attaque, des données personnelles de 1,3 million d'abonnés ont été volées. Francetv info vous explique pourquoi il ne faut pas (totalement) paniquer.

Parce que les données volées ne sont pas les plus sensibles

Selon Orange, les données volées sont essentiellement les nom et prénom de ses clients. "Et, si ces informations ont été renseignées : adresse mail, numéro de mobile, numéro de téléphone fixe, l'opérateur mobile et internet et date de naissance", précise l'opérateur. "La typologie des données n'est pas inquiétante", explique un consultant en sécurité informatique contacté par francetv info.

En effet, il s'agit de données que l'on peut facilement retrouver sur le web. Ainsi, si vous possédez un compte Facebook, de telles informations peuvent apparaître, en fonction des paramétrages de votre compte, dans les résultats des moteurs de recherche. Autre exemple : vous avez participé à une course à pied, les résultats de votre performance peuvent être mis en ligne accompagnés de vos nom et date de naissance.

"Ce qui est plus inquiétant, c'est la masse de données collectées et la vulnérabilité des systèmes qui ont été piratés", explique le spécialiste. Surtout qu'il s'agit là d'une attaque ciblant le plus gros opérateur télécom français. Si ce ne sont que des noms, numéros de téléphones et adresses e-mails qui ont été dérobés cette fois-ci, quid d'autres informations plus sensibles ? Orange a déjà répondu à Next Inpact que les coordonnées bancaires, par exemple, sont stockées sur d'autres serveurs sécurisés. Mais ce vol de données pose la question de la sécurisation des bases de données.

Parce que, pour une fois, le vol a été rendu public

Une intrusion dans les bases de données d'Orange a déjà eu lieu en février 2014 : 800 000 abonnés étaient alors concernés. L'opérateur de téléphonie avait déjà rendu publique cette faille. "Les OIV (organismes d'intérêt vital), comme les banques, les opérateurs téléphoniques, les hôpitaux, ont une obligation légale de communiquer à la Cnil (Commission nationale informatique et libertés) quand il s'agit de fuites de données personnelles de clients", rappelle Théodore-Michel Vrangos, président de I-Tracing, société de conseil en sécurité informatique, contacté par francetv info. Mais les clients eux-mêmes ne sont pas toujours avertis. 

"On peut saluer la transparence d'Orange dans cette affaire. Il arrive fréquemment que ces incidents soient passés sous silence. Il y a une volonté de taire ces incidents au maximum", confie un spécialiste de la sécurité informatique. "L'attitude d'Orange d'informer ses clients est positive", reconnaît également Tanguy de Coatpont, directeur général de Kaspersky Lab France, spécialiste de la sécurité informatique, joint par francetv info. Preuve que la démarche est loin d'être courante dans un monde où "les entreprises subissent de plus en plus d'attaques", confirme Théodore-Michel Vrangros.

Parce qu'il existe des astuces pour éviter les pièges

Si vos données personnelles ont été subtilisées et que vous recevez des courriels, des SMS ou des appels téléphoniques suspects, voici quelques conseils pour limiter les dégâts : 

Ne cliquez pas sur les liens qui vous sont envoyés par une adresse e-mail ou un numéro de téléphone que vous ne connaissez pas. N'ouvrez pas non plus les pièces jointes.

Vérifiez la provenance des messages. Si, depuis le courriel, vous êtes redirigés vers un site, n'hésitez pas à retaper dans votre moteur de recherche le nom du site. Ainsi, pour les abonnés Orange éventuellement concernés, l'URL devra être www.orange.fr. Si le site sur lequel vous êtes renvoyé n'a pas cette adresse, c'est un faux.

Assurez-vous d'être sur une page sécurisée lorsqu'on vous demande vos coordonnées bancaires, pour des achats en ligne par exemple. Vous devez vous assurer que le symbole du cadenas se situe au niveau de la barre d'adresse de votre navigateur. L'URL doit par ailleurs être précédée de "https".

Ne transmettez jamais de données sensibles, type mots de passe, coordonnées bancaires, ni par courriel ni par téléphone. 

Ne rappelez jamais un numéro que l'on vous a transmis par SMS ou MMS et que l'on vous demande de rappeler. 

Signalez les e-mails frauduleux que vous recevez sur la plateforme Signal Spam. En faisant remonter ces informations, cela permet aux autorités d'organiser des contre-campagnes et d'avertir les autres internautes.