Allez au contenu, Allez à la navigation

Piratage des données de clients d'Orange

14e législature

Question écrite n° 10391 de M. Roland Povinelli (Bouches-du-Rhône - SOC)

publiée dans le JO Sénat du 13/02/2014 - page 381

M. Roland Povinelli attire l'attention de Mme la ministre déléguée auprès du ministre du redressement productif, chargée des petites et moyennes entreprises, de l'innovation et de l'économie numérique, sur le piratage des données des clients d'Orange.
Une intrusion de grande ampleur a eu lieu dans les bases de données de l'opérateur téléphonique. Résultat : des données personnelles de 800 000 de ses clients ont été dérobées.
Dans un courriel envoyé à ses abonnés, Orange a expliqué ce piratage : « Cet incident a consisté en la récupération éventuelle d'un nombre limité de données personnelles vous concernant ou concernant votre foyer. Il peut s'agir des noms, prénoms, adresse postale, adresse mail de contact, numéro de téléphone (fixe ou mobile) ou des informations que vous auriez pu déclarer (composition du foyer, nombre d'abonnements Orange ou concurrents, informations concernant vos préférences de contact) ». D'après l'opérateur, les mots de passe ont cependant été préservés.
Les données piratées sont principalement les noms, prénoms et adresses postales des clients, ce qui peut faciliter les attaques selon le procédé du « phishing ». Mais les mots de passe n'auraient pas été piratés.
Le « phishing » est une technique de piratage qui vise à recueillir des informations confidentielles (codes d'accès ou mots de passe) via l'envoi de courriels censés provenir des banques ou opérateurs. Les victimes trompées par la qualité supposée de l'expéditeur fournissent elles-mêmes leurs propres données personnelles.
Face à ces phénomènes nouveaux qui inquiètent les français, il lui demande de préciser la position du Gouvernement.

Transmise au Secrétariat d'État, auprès du ministère de l'économie, du redressement productif et du numérique, chargé du numérique



Réponse du Secrétariat d'État, auprès du ministère de l'économie, du redressement productif et du numérique, chargé du numérique

publiée dans le JO Sénat du 31/07/2014 - page 1835

Les pouvoirs publics mènent depuis plusieurs années une politique active de lutte contre les envois de courriels indésirables, autrement dénommés « spams ». Ces pratiques visent souvent un objectif publicitaire mais peuvent également consister à inciter le consommateur à contacter des services à des numéros surtaxés, voire à tromper le destinataire en vue d'accéder à des données personnelles à des fins d'escroqueries (pratique désignée par les termes « phishing » ou « hameçonnage »). Le site www. surfez-intelligent. gouv. fr informe des règles de bonne conduite à suivre lors de l'utilisation de l'internet. Il existe notamment des filtres antispams efficaces. La loi pour la confiance dans l'économie numérique du 21 juin 2004 a donné compétence à la commission nationale de l'informatique et des libertés (CNIL) pour recevoir par tous moyens les plaintes relatives aux infractions aux règles de prospection électronique. Parallèlement, sous l'impulsion du gouvernement et en concertation avec les professionnels, une plate-forme nationale, Signal Spam, a été lancée en mai 2007. Ce dispositif permet le signalement des courriels indésirables en vue du traitement des plaintes dans le cadre d'une étroite coopération entre les administrations concernées et les opérateurs économiques. En outre, l'action de l'office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC) inclut notamment la lutte contre ces pratiques. Les particuliers peuvent signaler directement des agissements illicites via le site www. internet-signalement. gouv. fr. Concernant spécifiquement le phishing, le site www. phishing-initiative. com a mis en place une plateforme de signalement des sites frauduleux afin de lutter efficacement contre ceux-ci. Une action pédagogique et préventive est également menée, notamment par les opérateurs de communications électroniques, en direction des abonnés afin de les sensibiliser aux précautions à prendre s'ils font l'objet de telles démarches. D'autres sociétés mettent en place un dispositif destiné à lutter contre ces pratiques frauduleuses. Par exemple, EDF met à disposition de ses clients, sur son site internet, le lien suivant : http ://particuliers. edf. com/aide-et-contacts/arnaque-et-phishing-82736. html. EDF indique dans cette rubrique une adresse à laquelle il convient de transférer les messages douteux. De même, sur la page d'accueil du site www. impots. gouv. fr l'attention des usagers est attirée sur la circulation de courriers électroniques frauduleux et des consignes de sécurité sont indiquées. Au cas particulier, la CNIL a réuni, le 3 février 2014, les opérateurs de communications électroniques pour leur rappeler leurs obligations en matière de violations de données personnelles. Comme prévu par les dispositions en vigueur, la violation de données personnelles intervenue chez Orange le 16 janvier 2014 a bien fait l'objet d'une notification à la CNIL dès le lendemain et Orange a également procédé à l'information des personnes concernées. Ce dossier est en cours d'instruction par les services de la CNIL. Par ailleurs, suite au dépôt de plainte d'Orange, l'enquête sur ce piratage a été confiée à la direction centrale du renseignement intérieur (DCRI). Un deuxième piratage concernant 1,3 million de clients d'Orange a été annoncé le 6 mai 2014. Les personnes concernées ont été informées par courriel de cette intrusion et des conseillers de l'opérateur ont été spécialement formés pour répondre à leurs questions. De même que la première, cette deuxième intrusion a été notifiée à la CNIL conformément aux dispositions de l'article 38 de l'ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques. Cet article, qui ajoute un article 34 bis à la loi 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, impose aux fournisseurs de services de communications électroniques d'avertir sans délais la CNIL en cas de violation de données à caractère personnel et d'informer les personnes concernées. De son côté, la CNIL entend insister de nouveau auprès des opérateurs et des acteurs économiques sur la nécessité d'être proactifs en termes de sécurité des données personnelles. Il existe donc une mobilisation de l'ensemble des acteurs concernés pour lutter contre les envois de courriels frauduleux. Il va de soi que les services de l'État demeurent très attentifs au maintien de cette mobilisation et veillent à ce que les mesures nécessaires soient prises pour garantir une protection économique efficace des utilisateurs de l'internet.