L'opérateur télécoms Orange a annoncé mardi qu'un vol d'ampleur de données personnelles chez 1,3 million de clients et prospects avait eu lieu, trois mois seulement après une intrusion qui avait touché près de 800.000 d'entre eux. 

Dans un message sur son site internet, le groupe explique : 

"Un nombre limité de données personnelles concernant des clients et des prospects ont été copiées lors d'une intrusion détectée le 18 avril [...]. Nous avons constaté un accès illégitime sur une plateforme technique d'envoi de courriers électroniques et de SMS", utilisée pour ses campagnes commerciales (NDLR).

Noms, prénoms, adresses ou dates de naissances volées

Ces données qui ont été copiées concernent les noms, prénoms et adresses mail, les numéros de téléphone mobile et fixe, l'opérateur mobile et internet et la date de naissance. 

"Les données ainsi récupérées pourraient être utilisées notamment à des fins de phishing" (harponnage), prévient Orange. Le "phishing" est une technique de piratage qui vise à recueillir des informations confidentielles (codes d'accès ou mots de passe) via l'envoi d'e-mails censés provenir des banques ou opérateurs. Les victimes trompées par la qualité supposée de l'expéditeur fournissent elles-mêmes leurs propres données personnelles, telles que des numéros de carte ou de compte bancaires. 

Un délai d'alerte de plusieurs semaines

Des mails ont été envoyés lundi pour prévenir toutes les personnes concernées, a indiqué Orange. Le message qu'elles ont reçu contient un lien "click to call back", (cliquer pour qu'on vous rappelle), et l'opérateur s'engage à les rappeler dans les 48 heures pour répondre à leurs questions.

Le porte-parole a expliqué le délai entre la découverte de l'intrusion le 18 avril et sa divulgation le 5 mai par la nécessité de quantifier le vol de données, "de verrouiller le réseau technique et de s'assurer que la faille n'existe plus", puis de "dédoublonner les listes" qui contenaient souvent plusieurs fois les mêmes noms.