Ce dimanche 2 février, l'opérateur Orange a confirmé que des données personnelles de 800 000 clients ont été dérobées le 16 janvier 2014 par des pirates informatiques (3 % de l'ensemble des clients de l'opérateur). Dans ce contexte, quels sont les risques pour les abonnés ? Comment se protéger ?
Orange a confirmé dimanche 2 février une information du site PCImpact. Selon ce dernier, l'opérateur téléphonique se serait fait voler les données personnelles de 800 000 clients. Dans une communication adressée à ses clients, Orange explique que les données volées par les pirates sont des : "noms, prénoms, adresse postale, adresse mail de contact, numéro de téléphone (fixe ou mobile), ou des informations que vous auriez pu déclarer (composition du foyer, nombre d'abonnements Orange ou concurrents, informations concernant vos préférences de contact". Selon un porte-parole du groupe à l'AFP : "aucun mot de passe n'a été piraté". Orange a contacté ou contactera directement toutes les personnes concernées par ce vol.
Les risques d'un tel vol
Ceux qui ont récupéré ces données peuvent désormais tenter d'escroquer les abonnés d'Orange à l'aide de la technique du fishing (ou hameçonnage en français). Cela consiste à envoyer un courrier email ressemblant à celui de l'opérateur à un client et lui demander de donner son numéro de carte bleue ou son RIB, en cliquant sur un lien. Pour tenter de convaincre la victime, le courriel explique que de l'argent est dû ou qu'un trop-perçu sera reversé par la suite une fois les informations bancaires transmises. Le mail de fishing est souvent menaçant, évoquant une éventuelle coupure de service, ou bien, plein d'espoir, laissant croire qu'une erreur de facturation a été commise et que le client va être remboursé.
Les escrocs pourraient également décider de ne pas se faire passer pour Orange, histoire de ne pas éveiller les soupçons et affirmer qu'ils sont EDF, GDF, iTunes d'Apple, les impôts, Paypal ou bien d'autres prestataires et administrations. En temps normal il est simple de repérer ce genre de tentative, les courriels sont souvent remplis de fautes d'orthographe et d'approximation. Cependant, grâce aux données volées chez Orange, les mails de fishing pourraient être particulièrement fournis en informations et inspirer confiance. Gardez une seule chose à l'esprit : qu'il s'agisse d'une banque, d'un opérateur, d'un fournisseur de service ou d'énergie, à aucun moment, un mail ne doit demander des informations bancaires, une copie d'une pièce d’identité ou l'envoi d'un mandat cash. Ne cliquez jamais sur les liens de ces mails et détruisez-les systématiquement. En cas de doute, appelez le service client du prestataire concerné et demandez-lui un point sur votre situation. Quand les fournisseurs de service ont un contentieux avec un client, ils communiquent avant tout par courrier classique.
Comment se protéger
Premièrement : changez le mot de passe de votre de votre compte Orange si celui-ci est trop simple comme : azerty, 123456, abcde, un prénom ou juste une date etc... (voir notre guide pour choisir un bon mot de passe). Même si l'opérateur affirme qu'aucun mot de passe n'a été volé, rien d'indique que les escrocs ne tenteront pas de forcer l'accès à votre compte en tentant de retrouver le mot de passe, surtout si ce dernier n'est pas complexe.
Par ailleurs, si vous utilisez l'adresse que vous avez donné à Orange sur d'autres services comme Paypal, Gmail, Hotmail, eBay, Amazon... et que là aussi votre mot de passe est trop simple, changez-le également. Enfin, encore une fois, méfiez-vous des mails vous demandant des informations bancaires, mais aussi personnelles. Le fishing peut prendre de nombreuses autres formes : menace de saisi par huissier, retrait sur salaire, gains à une loterie, offre d'emploi alléchante et voyage "gratuit" pour tester des hôtels. Sur Internet, il n'y a jamais de cadeaux et quand cela est trop beau c'est toujours qu'il y a quelque chose de louche derrière.