Bouygues Telecom annonce avoir été la cible d'une cyberattaque. Une intrusion dans le système d'information de l'opérateur qui débouche sur une fuite de données massive. Elle touche les informations personnelles associées à 6,4 millions de clients.
L'incident de cybersécurité a été détecté le 4 août. « La situation a été résolue dans les plus brefs délais par les équipes techniques de Bouygues Telecom et toutes les mesures complémentaires nécessaires ont été mises en place », indique Bouygues Telecom dans un communiqué. Reste que le mal est fait.
Les données compromises et les dangers immédiats
L'attaquant a mis la main sur un butin conséquent. Les informations volées comprennent : les coordonnées, les données contractuelles, les données d'état civil ou celles de l'entreprise pour un professionnel, ainsi que les IBAN.
L'opérateur souligne que les numéros de cartes bancaires et les mots de passe des comptes clients ne sont pas concernés par la fuite de données. Le danger principal ne réside pas dans un piratage direct du compte Bouygues Telecom, mais dans l'exploitation des données personnelles pour monter des arnaques toujours plus crédibles, parce que personnalisées.
Armé du nom, des coordonnées et de détails sur un contrat, un cybercriminel peut se faire passer pour un conseiller de Bouygues Telecom, la banque de sa victime ou une autre institution. En établissant une forme de confiance, il pourra chercher à soutirer des informations encore plus sensibles.
L'IBAN, une arme redoutable pour les fraudeurs ?
La présence de l'IBAN dans les données dérobées a de quoi inquiéter. Si un cybercriminel ne peut pas directement effectuer un virement depuis un compte avec ce seul identifiant international de compte bancaire, un risque est celui du prélèvement abusif.
Dans le cadre d'une technique d'usurpation d'identité, un IBAN peut éventuellement être exploité pour générer de faux mandats de prélèvement SEPA et ainsi débiter un compte. « Pour ce qui concerne les prélèvements, il est normalement nécessaire que le titulaire du compte signe un mandat SEPA, mais on ne peut pas exclure qu'un fraudeur parvienne à réaliser une telle opération en se faisant passer pour vous », prévient Bouygues Telecom.
Suite à la grosse fuite de données qui avait touché Free l'année dernière. La Commission nationale de l'informatique et des libertés (Cnil) avait publié un guide évoquant le cas de l'exploitation frauduleuse d'IBAN.
Comment réagir désormais ?
Bouygues Telecom a mis en place un numéro vert (0801 239 901) et une page d'information. Sans surprise, l'opérateur insiste sur la vigilance. « Faites particulièrement attention aux appels émanant de faux conseillers bancaires qui tenteraient de vous mettre en confiance en citant votre nom ou votre numéro de compte. En cas de doute, mettez fin à l'appel et rappelez votre établissement ou conseiller bancaire à son numéro habituel. »
Pour contrer le risque de fraude lié à l'IBAN, les réflexes à adopter sont la surveillance régulière des opérations sur les comptes bancaires, la vérification de la liste des créanciers autorisés à effectuer des prélèvements pour identifier tout ajout suspect.
Bouygues Telecom souligne par ailleurs que « la réglementation bancaire prévoit que vous puissiez vous opposer pendant 13 mois à tous les prélèvements effectués sans votre accord sur votre compte bancaire ».
Les obligations légales remplies
Tous les clients de Bouygues Telecom affectés par la fuite de données recevront un e-mail ou un SMS pour les informer de la situation. Selon le schéma habituel et devenu désespérément trop fréquent, l'opérateur a notifié la Cnil de la violation de données. Une plainte a également été déposée auprès des autorités judiciaires.
« Les cyberattaques sont très fréquentes et n'épargnent aucune entreprise, malgré l'ensemble des outils et procédures de sécurité existantes. Nous faisons sans cesse évoluer nos procédures de sécurité pour faire face à l'évolution constante des modes opératoires des attaquants. […] La protection des données de nos clients reste une priorité », indique Bouygues Telecom. Un peu fataliste…
