Cyberattaque chez Orange Belgium : que risquez-vous en tant que client ?

Orange Belgium a annoncé avoir été la cible d’une cyberattaque qui a exposé les données de 850.000 clients. Si aucune information bancaire ou mot de passe n’a été compromis, les données consultées – numéros de téléphone, carte SIM et codes PUK – peuvent néanmoins alimenter des tentatives de fraude et poser un risque d’usurpation d’identité.

Orange Belgium a annoncé qu’un hacker avait eu accès fin juillet à environ 850.000 comptes clients. Selon l’opérateur télécom, le pirate a pu consulter des informations sensibles telles que le nom, prénom, numéro de téléphone, numéro de carte SIM, code PUK et plan tarifaire. Autant de données qui, isolées, ne permettent pas un accès direct à un compte bancaire. Mais, combinées à d’autres informations circulant en ligne, peuvent nourrir des tentatives de fraude. Orange invite donc ses clients à rester vigilants dans les prochaines semaines face à toute communication suspecte.

Le risque de démarchage frauduleux

Le premier danger est celui de l’hameçonnage (phishing). “Les informations consultées pourraient être utilisées par des fraudeurs pour tenter de vous contacter par téléphone, e-mail ou SMS et se faire passer pour Orange ou une autre entreprise. Le but principal serait de vous pousser à partager des données plus sensibles comme des mots de passe ou des informations bancaires”, avertit l’opérateur télécom sur son site Internet.

Pour l’expert en cybersécurité Guillaume Deterville, les clients concernés doivent rester vigilants. “Même si les mots de passe, n’ont pas été récupérés, certaines choses peuvent poser problème”, explique-t-il à RTL. Les risques restent limités pour les données bancaires, rassure toutefois l’expert. “Prendre le contrôle d’une carte SIM ne permet pas de contrôler entièrement le téléphone, donc le danger est réduit”.

Le spectre du « SIM swapping »

Plus préoccupant: le risque d’usurpation d’identité via le remplacement frauduleux d’une carte SIM. Cette technique, dite de SIM swapping, consiste pour un pirate à convaincre un opérateur qu’il est le véritable détenteur d’un numérogrâce à des informations collectées sur Internet et les réseaux sociaux comme un nom, un prénom ou d’autres données d’identification, afin d’obtenir une nouvelle carte SIM, explique Franck Dumortier, chercheur au Cyber & Data Security Lab de la Vrije Universiteit Brussel (VUB), à la RTBF. La nouvelle carte SIM est alors envoyée au pirate qui peut l’utiliser pour usurper l’identité du réel détenteur de la carte et procéder à des paiements ou accéder à des codes d’authentification.

Orange Belgium renforce ses garde-fous

Orange assure avoir pris des mesures pour limiter les risques. Pour sécuriser les échanges téléphoniques, Orange Belgium a notamment renforcé ses contrôles en ajoutant des questions secrètes dont les réponses ne figurent pas parmi les informations consultées par le pirate.  En boutique, l’opérateur poursuit la pratique légale d’identification formelle du client via lecture de la carte d’identité électronique. De plus, les opérateurs en Belgique sont légalement tenus d’identifier les détenteurs de cartes SIM prépayées, ce qui rend les tentatives de SIM swapping plus difficiles à mettre en œuvre.

Faut-il s’inquiéter ?

Les clients concernés n’ont pas à craindre de pertes financières directes : leurs comptes bancaires et leurs mots de passe n’ont pas été touchés. Mais, ils doivent redoubler de vigilance face aux communications suspectes. La prudence reste le meilleur bouclier :

• ne jamais transmettre ses mots de passe ou données bancaires par téléphone ou e-mail,
• vérifier l’expéditeur d’un message,
• contacter directement l’opérateur en cas de doute.

Orange a ouvert une page internet dédiée à cette cyberattaque. La société avertit personnellement les clients impactés par SMS ou e-mail.