Piratage de données chez Orange : les leçons d'une communication de crise
La série noire chez Orange continue. Trois mois seulement après avoir reconnu un premier piratage massif, lequel avait alors touché près de 800 000 clients, le premier opérateur de France a rendue publique une nouvelle intrusion informatique au sein de sa base de données.
Un second piratage massif en trois mois
Quand ce premier vol de données avait concerné moins de 3 % des clients d' Orange au mois de janvier, cette seconde intrusion aura permis aux pirates de mettre la main sur les données personnelles de pas moins de 1,3 million de personnes. Car les abonnés de l'opérateur ne sont pas les seuls concernés par ce piratage. Orange a précisé que la base de données en question comprenait des informations de clients d'autres opérateurs, s'agissant cette fois-ci d'un fichier de prospection commerciale.
Comme précisé par l'opérateur, les données personnelles ayant fait l'objet de ce piratage sont essentiellement les nom et prénom des individus fichés, ainsi que dans certains cas, leur adresse courriel, leur numéro de mobile comme leur numéro de téléphone fixe, le nom de leur opérateur mobile et FAI, ainsi que leur date de naissance. Toutefois, les informations bancaires des personnes concernées par cette intrusion ont été épargnées, tient à souligner l'opérateur.
Par ailleurs, des mails ont été adressés à l'ensemble des individus concernés par ce vol de données. L'opérateur s'engage de plus à répondre aux questions que pourrait se poser toute victime de ce piratage de vaste ampleur. Au-delà, l'ancien monopole public a tenu à alerter ses clients du risque de phishing, ou « hameçonnage » en bon français. Cette technique consiste à recueillir des informations autrement confidentielles – telles des codes d'accès ou mots de passe – via l'envoi d'e-mails frauduleux, les victimes étant abusées par la qualité supposée de l'expéditeur.
Les leçons d'une communication de crise
L'information, dévoilée par Orange, l'a été sous la forme d'un message posté au sein de l'espace client du FAI en ce début de semaine. Selon le verbatim propre à l'opérateur, « Orange a constaté un accès illégitime sur une plateforme d'envoi de courriers électroniques et de SMS […]. Cet accès a entraîné la copie d'un nombre limité de données personnelles concernant des clients et des prospects ». À ceci près que Orange a communiqué ce mardi 06 mai au sujet d'un piratage ayant eu cours le... 18 avril, soit plus de deux semaines après les faits.
Bien que l'annonce ait été tardive, Orange justifiant ces délais par la nécessité de « quantifier » le vol des données, distinguons toutefois la communication « grand public » du reste. Au lendemain du constat fait par Orange d'une première intrusion informatique en début d'année, la CNIL avait été immédiatement prévenue de l'effraction subie quand l'information n'avait fuité par voie de presse qu'à la toute fin du mois de janvier. L'on peut supposer qu'il en a été de même pour ce second piratage.
Quoi qu'il en soit, ce second vol de données consécutif est particulièrement fâcheux pour l'opérateur, lequel n'avait pas lésiné sur les moyens en vue de rassurer ses clients ces derniers temps sur la question sensible de la protection des données personnelles. Pas plus tard qu'au mois de novembre 2013, l'on se souvient que Stéphane Richard en personne, PDG de l'opérateur, avait solennellement signé une charte engageant ses services à assurer la confidentialité des informations personnelles de ses clients. Parce que la protection des données est un « sujet fondamental, […] Orange peut leur apporter la garantie de protéger ces données personnelles », avait notamment déclaré le dirigeant.