Une fois de plus, un opérateur français se retrouve au cœur d’une cyberattaque de grande ampleur. Il s’agit cette fois de Bouygues Telecom, qui a annoncé avoir été visé par une telle attaque le 4 août. « Un tiers a pu accéder à certaines informations personnelles associées à certains abonnements Bouygues Telecom », explique l’entreprise dans l’e-mail envoyé à ses clients.
Ce que le piratage de Bouygues Telecom implique
Le ton est volontairement vague, comme c’est toujours le cas dans ce genre de cas : une plainte a en effet déposée auprès des autorités judiciaires, ce qui a déclenché une enquête. Bouygues Telecom précise néanmoins que ses équipes ont rapidement éteint l’incendie et mis fin à l’attaque « dans les plus brefs délais ». Des mesures ont été prises pour renforcer la sécurité des systèmes d’information.
Malheureusement, le pirate a pu subtiliser des informations dans 6,4 millions de comptes clients. Il s’agit de données associés aux abonnements, comme les coordonnées, les données contractuelles, les données d’état civil ou celles de l’entreprise (si le client est une entreprise). Des IBAN ont aussi été volés. Seule consolation dans cette affaire : les numéros de cartes bancaires et les mots de passe des comptes ne sont pas concernés.
Malgré tout, le vol est significatif. Même sans les mots de passe ou les numéros de carte bancaire, les données subtilisées peuvent se révéler précieuses pour des cybercriminels. Les informations personnelles, contractuelles et bancaires (notamment les IBAN) peuvent en effet servir de point de départ à différentes formes de fraudes.
L’un des risques majeurs concerne l’usurpation d’identité. Avec un nom, une adresse, une date de naissance et un IBAN, il est possible de monter un dossier crédible pour ouvrir une ligne téléphonique, souscrire un crédit à la consommation ou encore créer un faux compte en ligne. Ce type de fraude peut passer inaperçu pendant un certain temps, jusqu’à ce que la victime reçoive un rappel de paiement ou une mise en demeure.
Autre menace : le phishing ciblé, aussi appelé spear phishing. Grâce aux informations personnelles extraites des bases de données, un pirate peut envoyer un courriel ou un SMS frauduleux en se faisant passer pour Bouygues Telecom, une banque ou un autre organisme connu de la victime. Ces messages paraîtront d’autant plus crédibles qu’ils s’appuieront sur des détails réels, comme un numéro de contrat, une adresse ou un IBAN.
Il faut savoir qu’il est impossible d’émettre un virement avec l’IBAN sans l’accord de la personne. Pour les prélèvements, il est « normalement » nécessaire que le titulaire du compte signe un mandat SEPA. Bouygues admet qu’on ne peut pas exclure qu’un fraudeur parvienne à réaliser une transaction en se faisant passer pour la victime.
Enfin, ces données peuvent tout simplement être revendues sur le dark web, où les fichiers clients contenant des millions d’entrées sont monnayés en fonction de leur richesse et de leur fraîcheur. Ces bases peuvent ensuite circuler entre groupes criminels, parfois pendant des années.
Bouygues Telecom recommande de vérifier les prélèvements effectués sur les comptes et de contacter sa banque en cas de doute. Rappelons qu’on peut s’opposer pendant 13 mois à tous les prélèvements effectués sans accord sur un compte bancaire.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
