Journée noire pour les données personnelles des Français·es : hier, plus de 6 millions de comptes clients ont été dérobés par des pirates, et certains contenaient des documents sensibles.
Après SFR et Free il y a presque un an, au tour de Bouygues Telecom d’être la cible d’un piratage de grande ampleur. Mercredi, l’opérateur français prévenait ses client·es affecté·es que quelque 6,4 millions de comptes avaient été compromis, et que se trouvaient parmi eux notamment leur numéro IBAN, destiné aux prélèvements bancaires. Le lendemain, le groupe Air France/KLM annonçait, sans le chiffrer, qu’un accès « frauduleux » à des données clients avaient également eu lieu.
Que s’est-il passé chez Bouygues Telecom et Air France ?
Le détail des opérations est encore flou. Chez Bouygues, l’opérateur se contente d’écrire que l’attaque est belle est bien terminée, et « qu’une plainte a été déposée auprès des autorités judiciaires ». Sur son site, et auprès des clients et clientes affectées, Bouygues Telecom indique que « les numéros de cartes bancaires et les mots de passe des comptes Bouygues ne sont pas impactés ». En revanche, les identifiants IBAN font partie du larcin des pirates. Une situation très délicate, sur laquelle alerte l’opérateur : « une personne qui détient un numéro IBAN ne pourrait pas émettre de virement sans votre accord, mais pour les prélèvements (…), on ne peut pas exclure qu’un fraudeur parvienne à réaliser une telle opération en se faisant passer pour vous. »
Chez Air France, le piratage semble avoir été, tristement, plus banal. D’après les informations de BFM Tech, seuls les noms, prénoms, adresses email, numéros de téléphone et numéro de compte Flying Blue (le programme de fidélité Air France) ont été divulgués, sans qu’un chiffre permettant de jauger l’ampleur du piratage soit partagé par la compagnie aérienne.
Mais il n’y a pas de « données peu importantes » dans pareil cas. Les pirates s’échangent sur le dark web le fruit de leur récolte et, en croisant les données obtenues lors de différents piratages, peuvent effectivement mettre en place des campagnes d’usurpation d’identité ou de phishing perfectionnées.
Comment savoir si l’on est concerné·e ?
Chez Bouygues Telecom comme chez Air France, les clients et clientes dont les données auraient été dérobées pendant les piratages doivent avoir été prévenu·es via un courriel dans les jours qui ont suivi le piratage. On peut estimer que, si vous n’avez encore rien reçu à ce jour, vous êtes passés entre les mailles du filet.
Dans le cas où vos données ont été piratées, Bouygues Telecom a mis en place un site listant divers conseils à suivre pour protéger son identité en ligne. Concernant le sujet épineux des IBAN volés, l’opérateur rappelle que « la règlementation bancaire prévoit que vous puissiez vous opposer pendant 13 mois à tous les prélèvements effectués sans votre accord sur votre compte bancaire », et invite ses clients à se montrer particulièrement vigilants sur leurs mouvements bancaires dans les prochains mois.
Fin juillet, Orange avait annoncé être parvenu à déjouer une cyberattaque concernant en particulier ses clients professionnels.
