À la demande de l’IBPT, Orange met en place des contrôles supplémentaires lors d’un transfert de numéro. Cette mesure fait suite à une fuite de données au cours de laquelle des données clients ont été dérobées.
Suite à une cyberattaque sur les systèmes informatiques d’Orange, des données de clients ont été divulguées, notamment des numéros de carte SIM et des codes PUK. Selon le régulateur télécom IBPT, cela augmente le risque de fraude à la carte SIM. La nouvelle mesure a été mise en place en concertation entre l’IBPT, Orange et d’autres opérateurs télécoms. L’IBPT contrôlera à son tour l’application de cette mesure de contrôle, indique le régulateur dans un communiqué de presse.
Danger de SIM-swapping
Le hacker éthique Inti De Ceukelaire avait déjà averti que les données divulguées rendaient les clients d’Orange vulnérables au « SIM-swapping » et a même déposé une plainte contre le fournisseur.
lire aussi
Orange minimise-t-il la cyberattaque qui a exposé 850 000 comptes clients ?
Dans ce cas, un fraudeur tente, avec des données clients divulguées, de transférer le numéro de téléphone de la victime vers une carte SIM en sa possession, afin de prendre le contrôle du numéro. Grâce à cet accès, il est possible d’intercepter, entre autres, des codes de vérification pour se connecter à des e-mails, des médias sociaux ou des plateformes de paiement.
Afin de limiter ce risque, Orange introduit une étape de vérification supplémentaire lors du transfert de numéro. Lorsqu’une demande de transfert d’un numéro vers un autre opérateur est reçue, Orange envoie désormais un SMS au client concerné. Ce message lui demande de répondre par « STOP » si le client n’a pas demandé le transfert.
Les clients particuliers reçoivent le SMS via le numéro 5000, les clients professionnels via le 5995. Ainsi, la demande peut être annulée à temps.
Vigilance
L’IBPT appelle également à la vigilance et conseille à tous les utilisateurs de services de télécommunications de sécuriser davantage leurs comptes, par exemple avec une double authentification, et d’être prudents quant au partage d’informations personnelles sur les médias sociaux. De plus, il reste important d’être attentif aux appels ou messages suspects.
Orange est critiqué par des experts en sécurité sur la manière dont il a géré la fuite de données. L’intrusion a eu lieu fin juillet, mais Orange n’a communiqué que quelques semaines plus tard et a pris des mesures limitées pour protéger ses clients. Le fait qu’Orange se fasse piéger par des hackers est d’autant plus frappant qu’il a Orange Cyberdefense, une entreprise de sécurité, juste à côté.