Cyberattaque contre Bouygues Telecom : 6,4 millions de clients impactés, des IBAN dérobés

À qui le tour ?

Cyberattaque contre Bouygues Telecom : 6,4 millions de clients impactés, des IBAN dérobés

Bouygues Telecom prévient actuellement pas moins de 6,4 millions de clients d’un accès non autorisé à certaines de leurs données personnelles… mais aussi bancaires. Attention donc aux risques de phishing et de prélèvements sur vos comptes.

Le 07 août 2025 à 08h22

Commentaires (60)

votre avatar
La meme chose chez coriolis mi-juillet.
votre avatar
Youhou un de plus !

Edit : je note n'avoir pas encore été informé par l'opérateur.
votre avatar
Idem, même pas un rappel à être prudent sur certains aspects.
votre avatar
Après ce genre de comm' est toujours envoyé par vague pour pas se faire black list par les MTA à droite et à gauche. On verra si je reçois quelque chose, je me rappelle que Boulanger je n'ai jamais rien eu :D
votre avatar
Je viens tout juste de recevoir le mail, à 8h54.

Voici son contenu :

Information importante
concernant vos données personnelles
Cher client / Chère cliente,
Bouygues Telecom a été victime d’une cyberattaque ayant permis l’accès non autorisé à certaines données personnelles. Vous recevez cet e-mail car vous êtes concerné(e).
Les catégories de données concernées, associées à vos abonnements Bouygues Telecom, sont : les coordonnées, les données contractuelles, les données d’état civil ou celles de l’entreprise si vous êtes un(e) professionnel(le), ainsi que les IBAN.
Les numéros de cartes bancaires et les mots de passe de vos comptes Bouygues Telecom ne sont pas impactés.
Nos équipes techniques ont mis fin à cette attaque dans les plus brefs délais et nous avons mis en œuvre des mesures complémentaires nécessaires pour renforcer la sécurité de nos systèmes d’information.
Nous avons également informé la Commission Nationale de l’Informatique et des Libertés (CNIL) et déposé plainte auprès des autorités judiciaires.
Nous vous recommandons d’être particulièrement vigilant(e) concernant une éventuelle utilisation anormale de ces données personnelles (appels, SMS, mails frauduleux ou prélèvements suspects sur votre compte bancaire).
Pour vous accompagner, nous mettons à votre disposition une page internet dédiée et un numéro vert au 0801 239 901. Le Mag de Bouygues Telecom dispose également d’ un dossier complet sur la sécurité de vos informations personnelles.

Nous sommes sincèrement désolés et vous présentons toutes nos excuses pour cet incident.
Nous restons à votre disposition,
L’équipe Bouygues Telecom
votre avatar
«Information importante
concernant vos données personneles »
Si je devais attendre un titre d'e-mail disant clairement les choses, j'aurais préféré « important: accès non-autorisé à vos données personnelles dont votre numéro IBAN suite à une cyber attaque ».

« Nos équipes techniques ont mis fin à cette attaque dans les plus brefs délais » Ça me rassure autant que si on me disait « on t'a piqué tes photos intimes qui sont maintenant dans la nature, mais t'inquiète l'attaque a été stoppée »
votre avatar
Surtout quand on a l'habitude des emails marketing faussement formulés comme sérieux.

Honnêtement, bien que je suspectais une notification de fuite de données, je suspectais également du marketing, et si j'avais été un peu trop fatigué lorsque j'ai reçu la notif (le mail est arrivé à 2h37 du matin pendant que je codais), j'aurai été plus tenté de cliquer "Trash" directement dans la notif sans lire le mail.

Finalement j'ai lu, et ma prochaine action a été de regarder si NXi avait fait un article ou pas encore (j'ai fait une recherche juste après lecture et le premier résultat était BFMTV, j'avais pas envie de devoir revérifier ce que j'aurai lu).
votre avatar
Les romanichels ne sont jamais prévenus :D
votre avatar
Une partie seulement de la base de clients est touchée, tu n'es peut-être pas concerné.
votre avatar
Nope j'ai fini par recevoir la comm' aujourd'hui.
votre avatar
Bon, du coup, ça y est, tous les opérateurs y sont passés ? 😅
votre avatar
SFR va peut-être bientôt vendre les données personnelles de ses clients à son repreneur éventuel, ça compte ? :D
votre avatar
Bha ça change pas grand chose pour moi, ils l'avaient déjà avec la fuite de chez FREE :neutral:
votre avatar
Pour le virement SEPA il me semble qu'il est par défaut accepté par la banque, c'est moins rassurant que ce qu'ils disent non ?
votre avatar
Sur mon compte bancaire (SG), c'est effectivement accepté par défaut. Mais j'ai une notif quand un nouveau "préleveur" vient taper dans mon compte. Tant qu'on n'est pas ciblé, je trouve ça pas mal comme juste-milieu en attendant d'avoir mieux.
votre avatar
Mais il existe déjà mieux : ça s’appelle la liste blanche.
Aujourd’hui, par défaut, tous les comptes sont en mode « liste noire ». Or, il est bien prévu (et obligatoire à proposer) un fonctionnement en liste blanche.

Problème : les banques s’évertuent à empêcher les clients de choisir ce mode en leur pourrissant la vie s’ils le demandent.
Déjà, une partie des « conseillers » ne savent même pas que ça existe. Ensuite, l’ajout d’un mandat autorisé n’est pas possible par l’espace client et impose un courrier papier (à part HelloBank a priori).

Bref : la solution existe, elle est juste rendue inutilisable par les banques. Tant qu’on ne reviendra pas au mode des prélèvements « à l’ancienne » avec déclaration préalable systématique, nos comptes ne seront pas sécurisés.
votre avatar
Au Crédit Mutuel (et certainement ailleurs), on peut programmer une alerte SMS en cas de présentation d'un nouveau prélèvement SEPA.
votre avatar
À la CE aussi je suis alerté quand un nouveau prélèvement va avoir lieu.
votre avatar
J'ai recherché l'option pour activer ces alertes, mais je n'ai rien trouvé. Comment as-tu fait ?
À moins que tu aies créé une alerte personnalisée, pour tous les prélèvements ?
votre avatar
Ce genre de notif est arrivé du jour au lendemain, ça fait quelques temps déjà (après je ne souscris pas à des trucs en prélèvement tous les 4 matins).

En regardant sur le compte je vois qu'on peut mettre des alertes pour les sorties par prélèvement, intéressant :)
votre avatar
Le truc pénible, c’est que si c’est pas prévu un minimum pour être automatisé, ça risque d’être compliquer d’intégrer un nouveau preleveur dans la whitelist. Surtout qu’à notre époque où l’on vit « par abonnement » on se retrouve vite avec pas mal de prélèvement automatique.

Et d’un autre côté, j’imagine (spéculation de la part) que c’est pas si open bar que ça. Déjà ça concerne que les prélèvement français. Sûrement que pour être autorisé à prélever, il doit falloir montrer pâte blanche. Et surtout, la contestation possible jusqu’à 1 an… c’est quand même très contraignant pour la société qui prélève d’avoir aucun garantie que l’argent va pas faire machine arrière pendant 1 an.
votre avatar
Pour pouvoir émettre un prélèvement, il faut être une entreprise, avoir le contrat qui va bien avec ta banque et obtenir à travers elle un Identifiant Créancier SEPA (ICS).
Ce n'est pas spécifique à la France mais valable dans toute la zone SEPA. Ensuite, dans le cadre d'un prélèvement CORE (le type de prélèvement que tu fait si ton client est un particulier), ce dernier a 8 semaines pour contester sans justification et jusqu'à 13 mois avec justification (en règle générale, ça sera pour cause de prélèvement frauduleux).

Plus qu'une entreprise frauduleuse qui essaierait de te prélever des fonds, c'est surtout le cas d'une perosnne qui fait des achats, souscrit à des crédits, etc à l'aide de ton IBAN, bien que le vendeur en face soit règlo. Se pose alors la question du KYC de sclients, notamment en cas de crédit pour vérifier que le souscripteur est bien celui qu'il prétend être.
votre avatar
Pour ma part j'utilise Revolut : pas de foutu conseiller à supporter, et je n'ai certes pas de mode liste blanche, mais je suis notifié des prélèvements plusieurs jours en avance, avec non seulement la possibilité de les bloquer, mais aussi d'en connaître le montant, et de m'assurer que mon solde est suffisant, là où les banques traditionnelles font la surprise et facturent chaque échec (d'ailleurs même en cas d'échec après avoir été prévenu, Revolut ne facture rien).
votre avatar
vec non seulement la possibilité de les bloquer, mais aussi d'en connaître le montant, et de m'assurer que mon solde est suffisant, là où les banques traditionnelles font la surprise et facturent chaque échec
J'ai les opérations à venir disponibles plusieurs jours à l'avance aussi à la CE.

(et j'ai aussi Revolut, que ce soit en perso mais aussi leur offre Freelance pour mon EI)
votre avatar
Après, si tu n'as rien signé, ils te remboursent. Et ce ne sont pas des virements de n'importe quel montant qui sont validés par défaut.
votre avatar
« Après, si tu n'as rien signé, ils te remboursent » Je me demande si c'est en pratique ou en théorie (les banques ont régulièrement été condamnées et montrées du doigt pour des refus ou de la résistance abusive dans l'application qu'elles ont de rembourser des fraudes)
votre avatar
Sur un prélèvement sepa elles ne posent aucune question. C’est sur les prélèvements cb que c’est compliqué. En fait pour les prélèvements chez beaucoup de banques il y a même souvent un bouton « annuler » directement dans l’interface d’un prélèvement.
votre avatar
Elles font de la résistance quand le client est (au moins en partie) en tort. Par exemple, un client se fait phisher par téléphone et valide le transfert de toute sa thune vers les îles vierges britanniques, la banque va pas vouloir rembourser (et franchement, elle devrait pas avoir à payer pour la stupidité de ses clients).
Mais sur un paiement où le client n'est pas directement impliqué (prélèvement automatique, paiement par CB sans le CVV, ...), ils posent pas de question et remboursent.
votre avatar
Avec toutes les fuites inévitables qui s'accumulent. Est-ce pas plus simple de considérer que toutes ces infos volées chaque semaine soient considérées comme des informations publiques. Et donc de ce postulat, prendre des mesures autour pour qu'elle n'ai plus de valeur? au pif:
- rendre les IBAN dynamiques
- arrêter les IBAN et passer à une solution de token (1 token par commerçant, et seul ce commerçant peut utiliser le token)
votre avatar
« [...] les mots de passe de vos comptes Bouygues Telecom ne sont pas impactés »
Je me demande combien de fois, lorsqu'ils disent ça, les hashs des mots de passes ont quand même fuité... Parce que je les imagine bien considérer que, comme ça n'est pas en clair ça n'a donc pas fuité, ou une autre logique obscure permettant de minimiser l'étendue de la fuite de données...
votre avatar
La manière de faire passer le vol des IBAN est lamentable.

C’est bien plus grave que la CB car pour cette dernière il suffit juste de deux clics pour en avoir une nouvelle..

C’est d’ailleurs étonnant que l’IBAN ne soit pas chiffrée..
votre avatar
Ils ont certainement besoin de communiquer les IBAN à leurs prestataires de paiement.
votre avatar
Ça n'empêche pas de les sécuriser...
votre avatar
C’est d’ailleurs étonnant que l’IBAN ne soit pas chiffrée..
L'IBAN peut être chiffré, mais si la clé de chiffrement a été volée ça ne changera rien.

Le hash me semble un peu compliqué vu que c'est une donnée utilisée pour les virements/prélèvement bancaires. Ce n'est pas un mot de passe dont on compare le hash + salt pour savoir si c'est le même.

Dans tous les cas, il faut rappeler que l'IBAN n'est pas une donnée secrète : il figure obligatoirement sur une facture (celui du vendeur, évidemment), par exemple.
votre avatar
J'en profite pour donner un lien vers un article d'It-Connect sur les fuites de données avec un chapitre sur comment réduire les risques : https://www.it-connect.fr/vos-donnees-ont-elles-fuite-sur-le-web/. Si ça peut servir aux moins bidouilleurs d'entre nous.

et aussi https://bonjourlafuite.eu.org/ qui essaye de référencer les fuites concernant les citoyens français de façon chronologique avec le détails des données fuitées.

Prudence :-)
votre avatar
Es-ce que la fuite concerne aussi les anciens clients?? Des infos??
votre avatar
Pour l'instant, je n'ai été prévenu ni par Bouygues, ni par Air France. Mais je risque d'avoir les deux dans la même journée. :roll:
votre avatar
Des romanichels auraient réussi à passer les douves du chateau? Diantre! :mdr2:
votre avatar
Amazon -> Ajout d'un compte bancaire par IBAN -> achat (dans la minute). Point. Aucune vérif de rien du tout. Facile simple, efficace, et évite toute la sécurité des paiements par CB (notamment la validation des paiements via l'application de la banque)
votre avatar
notamment la validation des paiements via l'application de la banque)
Amazon ne le fait pas de toute façon. Je n'ai jamais eu de demande de validation pour un achat sur ce site.
votre avatar
Bon du coup (quasi) 100% des abonnés à un service de téléphonie/internet en France, ont leur données personnelles dans la nature. Reste plus bcp de personnes non concernées...
votre avatar
FDN pas (encore ?) touché !
votre avatar
IL Y EN A SÉRIEUSEMENT MARRE DE L'INCOMPÉTENCE ARTIFICIELLE, ILS NE PEUVENT PAS FAIRE UN PUTAIN D'EFFORT MINIMUM POUR SÉCURISER DES DONNÉES AUSSI CRITIQUES, CES BRANLEURS CHARGÉS DE LA SECURITÉ ?

Hum... pardon :embarassed: Oui je suis de plus en plus intolérant envers l'incompétence, surtout quand il faut passer derrière pour réparer.

Bouygues disposerait de 26,8 M de lignes mobiles et de 9,4 M de lignes fixes. Cela fait environ 1 chance sur 5 d'être présent dans la fuite. J'ai un membre de ma famille qui est potentiellement concerné, à voir dans les prochaines heures ou jours.

Cela fait un an et demi que l'on subit une vague de piratage, et aucune leçon n'en est tirée juste pour économiser un peu d'argent. Après tout quand on peut externaliser toutes les gènes vers le client, pourquoi sécuriser vu que c'est ce dernier qui aura à gérer les conséquences ?
votre avatar
Se pose la question de porter toutes ces potentielles négligences en justice, mais pour ça il faudrait avoir accès aux moyens mis en place et avoir des enquêtes indépendantes pour savoir s'il y a eu négligence ou non ... Autant dire que le temps où nos informations personnelles seront en sûreté chez les personnes avec qui nous contractons est lointain... Car effectivement, maintenant que tous (ou presque) les opérateurs se sont fait pawned, y'a même plus l'idée de la concurrence pour faire réfléchir les autres...
votre avatar
Ils le font à priori pour les CB :transpi:, après pourquoi toutes les données n'ont pas ce niveau de protection :fou:
votre avatar
Le point qu'on ne sait pas, c'est si c'est un manquement ou une intrusion / faille (et on ne le saura jamais à moins d'une fuite d'information interne ou d'une publication de la CNIL suite à l'enquête). La sécurité IT n'est pas absolue, elle ne peut pas l'être et ne le sera jamais. Il suffit de très peu de chose pour se faire poutrer quand bien même on est dans l'état de l'art (même en étant ISO 27001, SecNumCloud, PCI DSS, Truc et Bidule il suffit d'un faux pas).

En ce qui concerne les données de carte bancaires, elles sont sous le périmètre des normes PCI DSS dont l'IBAN ne fait pas partie.
votre avatar
100% d'accord avec ton message, en tant que branleur de la sécurité cité plus haut, entre mes pauses et mes partie de golf quand j'essaie de bosser un peu, et bien ta le marketing, le métier et le management qui te disent que tu empêche les employés de rapporter de l'argent, alors..
votre avatar
surtout le marketing !
votre avatar
Ah ben en interne on sait c’est sur.
votre avatar
De son côté, Bouygues Telecom assure qu’une « personne qui détient un numéro IBAN ne pourrait pas émettre de virement sans votre accord ». À juste titre, l’opérateur prend soin d’ajouter que, concernant les prélèvements, c’est plus compliqué : « il est normalement nécessaire que le titulaire du compte signe un mandat SEPA, mais on ne peut pas exclure qu'un fraudeur parvienne à réaliser une telle opération en se faisant passer pour vous ».
Ou sinon, on arrête ces c*nneries de venir piocher sur notre compte, et les FAI nous laissent payer par CB dès que la facture est émise ! Ras-le-bol que ce soit le moyen de paiement le plus mis en avant. C'est pratique pour eux, mais les galères sont pour nous ! (piratage, la somme est prise même si on a un incident, impossible à bloquer sans payer des frais)

À ma connaissance il n'y a que Orange / Sosh qui permettent de payer sans problème en CB.

Chez Bouygues il faut passer par le service client qui n'y comprend pas que cela ne sert à rien de tenter le prélèvement si le client n'a pas renvoyé le mandat, et que les frais de rejet sont pour eux vu qu'ils font n'imp.

Et Free c'est pire : si on veut payer par CB, il faut laisser un dépôt de garantie de... 400 euros ! Si on est parti pour y rester, c'est sympa d'avoir 400 euros dehors plutôt que sur son compte. Et je doute que la Revolution, qui approche des 15 ans, ait vraiment cette valeur.
votre avatar
CB ou virement, fait à l'initiative du client, je suis effaré de la rareté des possibilités de paiement par virement.
À part les artisans (mon plombier le mois dernier par exemple)
votre avatar
Une de mes connaissances a payé un artisan par virement à l'IBAN qu'il lui avait envoyé.
15 jours plus tard, l'artisan l'appelle pour lui rappeler de payer ...
L'IBAN avait était remplacé/modifié dans le mail.
Par contre, je n'ai pas eu la fin de l'histoire si c'est la messagerie de l'artisan qui avait été piratée ou bien celle de ma connaissance. Je lui demanderai à notre prochaine rencontre.
votre avatar
Bon à savoir : l'IBAN étant une donnée obligatoire sur une facture, c'est bien à celle-ci qu'il faut se fier. Perso je ne me fie pas au mail qui dit "payez sur cet IBAN" (il suffit d'une erreur ou d'une malveillance pour se faire avoir. Une facture, même si c'est falsifiable, ça reste un document opposable).

Autre bonne pratique en ce qui me concerne que je fais pour chaque paiement par virement : j'envoie les références communicables de celui-ci à l'entreprise (pis c'est sympa, ça aide leur compta :D).
votre avatar
Autre bonne pratique en ce qui me concerne que je fais pour chaque paiement par virement : j'envoie les références communicables de celui-ci à l'entreprise (pis c'est sympa, ça aide leur compta :D).
Et ça évite d'avoir des rappels pour impayés alors que tu as payés ^^
Pour ma part, je mets toujours le numéro de la facture + le nom de ma société (comme ça, si je me lourde sur le numéro, j'ai encore le nom de ma société qui est bon :D)
votre avatar
Bonne pratique aussi ;)

Après, pour les virements "perso" pour un achat, généralement je laisse mon nom + le numéro de facture et j'envoie ça à la boîte.

On verra ce que ça donnera quand la facture électronique sera mise en oeuvre. Perso j'ai déjà ma PDP pour mon EI, yapuka. Ça me permettra de faire les prestations du prochain bouquin en mode B2B.
votre avatar
Viendez ici les gens :)
https://sign.asso-purr.eu.org/d/WB6S6US6NT4sECVyvEzI4
Et n'oubliez pas d'envoyer des dataloves à Aeris !
votre avatar
Qu'es-ce que c'est??
votre avatar
Une asso qui aide à faire respecter le RGPD, en faisant des recours collectifs.
votre avatar
Merci et le mandat vers lequel pointe le premier lien sert à quoi??
votre avatar
C'est le mandat à renvoyer à l'asso pour qu'elle te représente.

Cyberattaque contre Bouygues Telecom : 6,4 millions de clients impactés, des IBAN dérobés

  • Les risques liés à la fuite d’IBAN

  • Les cyberattaques sont « très fréquentes et n'épargnent » personne

Fermer