Passer au contenu

Orange victime d’une attaque, environ 800 000 comptes concernés

Orange a décidé de jouer la transparence : dans un e-mail envoyé à certains de ses clients, l’opérateur/FAI indique avoir été victime d’une attaque dans la…

Orange a décidé de jouer la transparence : dans un e-mail envoyé à certains de ses clients, l’opérateur/FAI indique avoir été victime d’une attaque dans la journée du 16 janvier.

capture-mail
Un screenshot du mail – via PC INpact

La firme tient à rassurer en précisant d’emblée que “l’intégrité [des mots de passe] n’est pas mise en cause”. Si l’on en croit Laurent Benatar, directeur technique de l’opérateur qui s’est entretenu avec PC INpact, cela vaut aussi pour les versions chiffrées des mots de passe.

Les pirates ont tout de même pu mettre la main sur certaines données relativement sensibles telles que des adresses postales, électroniques ou des numéros de téléphone. Certaines données bancaires sont également concernées, mais dans une version inutilisable. Les numéros ne sont pas stockés dans leur totalité sur les serveurs touchés indique le directeur technique à nos confrères.

Au total, 3% des clients ont été touchés, ce qui correspond a environ 800 000 personnes. Seules ces dernières ont reçu ou recevront dans les prochaines heures un courriel d’Orange. Si vous ne recevez rien, vous êtes donc passé entre les mailles du filet.

L’opérateur tient également à mettre en garde ses clients : l’attaque ayant pour finalité de s’adonner à des tentatives de phishing, il conseille de redoubler de vigilance en cas de sollicitations étranges sur lesquelles seraient apposé son logo. La règle de base : Orange ne vous demandera jamais votre mot de passe.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

13 commentaires
  1. J’admire la transparence.
    Par contre, ça me fait chier, je suis passé de Free à Orange le 2 janvier 2014 :p (je voulais la fibre :p).
    C’est quand même pas de bol.
    On verra si je suis concerné 😉

  2. “Orange a décidé de jouer la transparence…”
    N’existe-t-il pas une loi qui rend *obligatoire* une déclaration publique ou au moins aux personnes concernées ? Ou seulement aux Etats-Unis ?
    Sinon, il faudrait l’inventer.

  3. Et ils peuvent jouer la transparence sur le DPI et le flicage de leurs abonnés aussi?
    Ils ont du transférer le budget R&D sécurité vers le budget “on espionne ce que nos abonnés font”.
    Orange, on savait en lisant les petits asterisks que vos abonnés n’étaient pas protégés de la lecture de leurs contenus de votre part, maintenant on sait que même des personnes externes à Orange ont accès à nos données…quel pied!

  4. @yoyo vu le nombre d’attaques qu’ils doivent se prendre par jour, il faudrait un mec à temps plein rien que pour faire les annonces.

    @sanvoran arrête de troller, si tu veux pas des clauses en astérisque, tu signes pas. Quand à ton commentaire sur l’attaque, c’est tout simplement pitoyable. Personne n’est à l’abri d’une attaque informatique. Rien que le fait que les pirates aie réussi à rentrer, mais n’aient pas su récupérer des données critiques, et surtout que cela ne concerne que 3% prouvent que leur système est mieux protégé que beaucoup d’autres

  5. 800 milles client c’est 3% de client orange ?
    cela voudrais dire qu’orange a plus de 26 millions de client soit prés de la moitié de la population française bizarre c pas plutot 30%

  6. @Rudy, j’ai lu la même chose sur Clubic, ça m’a paru bizarre aussi.

    26 millions de client ADSL, si on se réfère au nombre de foyers et non d’habitant, ça doit se rapprocher de 100%…

  7. @Melendril
    Tu peux voir ça comme un troll. J’essaye juste de communiquer sur le DPI d’Orange qui a été introduit par une opt-out. Peu de gens sont au courant de ce qu’est réellement le DPI, peu de gens sont au courant de ce qu’est une opt-out/opt-in, peu de gens sont au courant de la pratique d’Orange sur ce point.
    Je ne suis pas client Orange pour différentes raisons, ça ne m’empechera pas de communiquer cette information dès que je le pourrai afin de sensibiliser certains clients qui n’auraient pas signer avec cette enseigne en ayant l’information.
    Pour ce qui est du piratage ça reste ridicule. Les informations obtenues par les hackers sont assez faibles c’est un fait. On ne va pas pour autant décerner une médaille à Orange, une faille était bien présente.
    Quand un FAI n’est pas capable de sécuriser correctement un portail/un accès sgbd (même partiel) mais est capable de mettre en place du DPI, je trouve ça flippant pour les clients. Libre à chacun de fermer les yeux et de dire que tout va bien.

  8. @ Rudy : Orange n’existe pas qu’en France, c’est un des plus gros opérateur européen et travail dans diverses domaines. Si on compte la totalité des clients du groupe, cela me semble un chiffre réaliste.

  9. le portail est le même pour tous les clients Orange : fixe, mobiel internet..

    donc 26M utilisant ce portail ce n’est pas incohérent.

  10. @Sanvoran je parle de troll car tu profites d’une news sur Orange pour parler d’autre chose qui n’a rien à voir si ce n’est que cela concerne Orange. Que tu es tort ou raison (perso je pense que tu as raison), mais cela n’est pas le sujet.

    Tu semble bien maitriser les contrats et le traitement des données, mais pas aussi bien la sécurité informatique. Aucun système n’est sur. Il y a toujours des failles. C’est juste une question de temps et de motivation. Le seul moyen de sécuriser un serveur à 100%, c’est de l’éteindre, ce qui limite son utilisation. Le fait que des doubles et triples sécurités ait protégé les données, cela ne mérite pas une médaille certes, mais cela mérite au moins d’être signalé quand on entends parler de plus grandes et plus critiques sociétés qui ne le font pas.

  11. @Melendril
    “Tu semble bien maitriser les contrats et le traitement des données, mais pas aussi bien la sécurité informatique”
    Si tu savais à quel point ça peut prêter à faire rire en connaissant mon identité 🙂 .
    Je n’ai jamais dit, ni laissé penser qu’un système pouvait être sur à 100%.
    On ne connait rien, à ma connaissance, de la faille ou de la technique employée. Reste qu’il y a eu accès partiel à la base ou accès total à une base partielle (je ne connais pas leur archi mais j’imagine qu’il y a une base mixte).
    Personne ne fera croire qu’en interne ils parlent de “faille légère” ou de “merde on n’avait pas vu mais c’est pas grave c’est limité”. Non en interne ça a commencé par un air étonné sur un log, suivi de deux trois verifs d’un ingé avant de pousser un hurlement de peur. Ensuite des heures à paniquer, courir dans tous les sens, coder le patch le plus rapidement possible, passer les tests de prods en urgence et commiter sur la prod.
    Tu peux minimiser le truc autant que tu veux en relativisant, chez Orange ça a du être la guerre et si un coupable est identifié il sera viré manu militari, que sa faute initiale soit grave ou non.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *