Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

RED by SFR informe ses clients d’une nouvelle fuite, avec une ribambelle de données

Le 19 septembre à 17h06

La semaine dernière était classée noire au niveau des fuites de données : Boulanger, Cultura, DiviaMobilités, Truffaut, Cybertek et Grosbill (qui font partie du même groupe) ainsi que l’Assurance retraite. Après une petite accalmie, les affaires reprennent chez RED by SFR, la marque « low cost » de SFR.

Un email a été envoyé aux clients concernés : « Le 3 septembre dernier, SFR a détecté un incident de sécurité portant sur un outil de gestion de commandes de ses clients. Cet incident a entrainé un accès externe non autorisé à des données personnelles vous concernant ».

La marque au carré rouge joue du sarcasme (enfin, on espère…) en expliquant que le périmètre concerne « exclusivement des données suivantes », comme si c’était une bonne nouvelle : nom, prénom, coordonnées, données contractuelles (type de forfait, contenu de la commande), IBAN, numéro d’identification du smartphone et de la carte SIM… excusez du peu.

SFR affirme qu’aucune autre donnée n’est concernée, comme le mot de passe, le « détail de vos appels et le contenu de vos SMS ». Encore heureux ! On se demanderait bien pourquoi un « outil de gestion de commandes » des clients aurait accès à de telles informations personnelles.

L’incident est clos, les « procédures d’authentification pour toute demande de modification de coordonnées de contact » ont été renforcées. La CNIL a été informée, comme la loi l’y oblige. Une plainte a aussi été déposée, affirme la société.

Selon l’expert en cybersécurité SaxX. sur X, cette fuite pourrait être celle révélée le 4 septembre. La chronologie des faits pourrait correspondre en tout cas. Le pirate revendiquait le vol des données de 50 000 clients, un chiffre à confirmer. Nous avons évidemment contacté Altice France afin de savoir combien de clients étaient concernés, que ce soit chez RED by SFR ou chez SFR en direct le cas échéant, mais sans réponse pour l’instant.

Toujours selon SaxX., qui écume les forums spécialisés, « 1,4 million de données de SFR » auraient été mises en vente en juillet de cette année.

Le 19 septembre à 17h06

Commentaires (23)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Les clients de SFR standard et les clients de la filiale pro peuvent s'attendre à telle nouvelle dans un avenir très proche.
votre avatar
Sans déconner la formulation est insupportable. Genre y’a littéralement tout qui fuite mais c’est rien, et même pas une excuse.

Le pire c’est que si ce genre de conneries n’arrivait qu’à un seul client par erreur de manip ou autre, n’importe laquelle de ces boîtes ferait semblant d’être désolée et de faire un geste commercial au type qui hurle au téléphone. Mais là non, les types se font poutrer une base de données entière, ça va faire chier des milliers de gens et même pas une excuse ?
votre avatar
Ah si ils vont réagir : « prenez notre pack sécurité bla-bla-bla… pour la modique somme d’un rein, vos deux bras et une jambe.
Vous n’en voulez pas? C’est de votre faute alors vous êtes exposés »
votre avatar
L'IBAN ? Excellent. La seule façon de le remplacer, c'est de fermer le compte bancaire. Bravo les gars ! Et la communication en rajoute une couche.

Et comme indique Gilbert_Gosseyn, les clients SFR peuvent s'attendre à la même chose. C'est la même boîte donc pour des questions de rationalité économique les process sont sûrement les mêmes, les failles avec.
votre avatar
Cher client,

On a chié dans la colle, sur ce sujet comme sur tant d'autres. Tu t'attendais à quoi?

Donc de notre côté l'incident est définitivement clos.

Et du tien, ben écoute, j'ai envie de dire: "bonne chance."

Mais en cas de pépin, n'hésite surtout pas à appeler notre hotline qui s'en cogne. Allez, ciao!
votre avatar
Quel(s) est/sont le(s) risque(s) pour les personnes en cas de fuite de leur IBAN ?
votre avatar
votre avatar
Alors, avec un IBAN et les autres informations leakées tu peux facilement faire un mail de phishing qui contiendra:
- Le vrai nom et prénom de la personne (normalement rassurant)
- Le bon logo et charte graphique de la banque du client
- L'adresse et le numéro de téléphone de l'agence la plus proche (pour faire encore plus vrai)

Bref, du phishing puissance 1000.
votre avatar
Bref, pas beaucoup plus que ce qui est déjà possible avec les fuites de données de ex Pole Emploi, de CAF, etc ...

Désolé d'être si cru, mais, la sécurité des données des utilisateurs / clients / salariés a été prise par dessus la jambe pendant des années par certains.
Hélas, ce sont les utilisateurs / clients / salariés qui se fadent les ennuies derrière :/
votre avatar
C'est là que je me dit que ma paranoïa est hélas utile. Depuis le tout début de ma vie numérique j'ai cloisonné par plusieurs adresses mail et des alias dans la plupart d'entre elles. En gros si un message de ma banque qui a son alias dédié n'est pas dans la bonne adresse, poubelle direct.
Plus ça va plus je me rend compte que cette catégorisation me rend de plus en plus de service, depuis le début d'année je reçoit des kilos de spam alors qu'avant c'était relativement anecdotique. Et c'est pareil pour ma famille, j'ai maintenant régulièrement des appels de "j'ai reçu ça / cette page s'affiche, je fais quoi ?".
Sans compter le vol de token d'identification sur les PC de mes neveux.
votre avatar
Je suis pas a une adresse par service, mais j'en ai pas mal déjà. Gestion similaire.
Ma banque m'envoi pas de mail, sauf pour me dire d'aller sur son service de messagerie car j'ai un truc a aller voir, mais sans lien de connexion. Du coup, quand je reçoit autre chose, forcément c'est du fake.
Pareil que toi pour les messages sur la mauvaise adresse, en ce moment mon compte iCloud est plein 10 fois par jours ... sur la mauvaise adresse :oops:

Pour l'entourage, j'ai du expliquer a ma mère qu'elle n'avait pas de compte iCloud et donc que le mail c'était poubelle, elle était a deux doigts de cliquer :kill:

Mon plus beau truc ça reste pour le moment le fraudeur qui appel une amie pour se faire passer pour le service fraude de sa banque et qui appels avec les bonnes infos et affiche le numéros de tel du service fraude lors de l'appel (facile à faire).
Il a juste pas eu de bol qu'on soit ensemble a ce moment là en train de prendre un verre et que je connaisse le fonctionnement de ce genre de services et un peu le monde du paiement :bocul:
Ma pote a flippé après m'avoir passé le gars qui a voulu me parler quand j'ai dit au gars qu'ils racontait que de la merde sur tel ou tel sujet :roule:

Ce serait bien que côté Next vous envisagiez de faire un article sur les règles de base contre le phising & Co, notamment quand le fraudeur se fait passer pour une banque ou un gros établissement bien établit.
Dans le cas de la banque, le service fraude ne refusera jamais de se faire rappeler depuis le numéro composé dans l'appli de la banque, qui a très peu de chance d'être un fake.
votre avatar
Dans le cas de la banque, le service fraude ne refusera jamais de se faire rappeler depuis le numéro composé dans l'appli de la banque, qui a très peu de chance d'être un fake.
Tout à fait. Et pour rappel : aucune banque ne vous demandera JAMAIS de lui communiquer un numéro que vous allez recevoir par SMS ou la confirmation d'une opération via votre application bancaire.

Toute tentative de ce genre est une arnaque. Et pour les attaques les plus poussées (comme dans le cas que tu décris avec affichage du "bon numéro") : prévenir sa banque malgré tout, par écrit, de préférence, car cela laisse des traces, afin de se protéger. Et la banque peut mettre un warning sur le compte pour accroitre la surveillance de transactions qui paraitraient frauduleuses (virement important et/ou vers l'étranger par exemple).

Pour rappel, en cas de fraude, la banque est tenue de prouver la négligence de son client, sans quoi, elle doit rembourser les sommes en question.
votre avatar
Alors au sujet des banques, j'en profite pour partager un élément qui m'a grandement étonné avec ma banque personnelle.

Comme beaucoup de banques j'imagine, tous les mails se termine par un message type :
Nous vous demanderons jamais de transmettre ou de saisir par e-mail, SMS ou par téléphone, et ce, quels que soient la raison évoquée et le degré d’urgence : Le code secret et les données de votre carte bancaire (numéro de la carte bancaire, date de validité et cryptogramme) Le numéro de votre compte bancaire, Un code sécurité reçu par SMS (code 3D Secure), Le code client et/ou le code secret de votre accès à la banque à distance.
Récemment j'ai appelé un conseiller en ligne et pour accélérer l'identification du client, l'accueil automatisé demande de saisir l'identifiant et le code secret qui sert également pour l'authentification sur l'espace client en ligne du site internet.
Ce n'est pas précisé par l'assistant vocal mais si on ne saisit rien, on est quand même mis en relation avec le conseiller.

Ce fait me dérange pour deux raisons :
- D'abord parce que je pense que d'un point de vue technologique, l'interception d'une saisie au clavier est envisageable.
- Et ensuite parce que cela envoie un très mauvais signal contradictoire à toute la communication de prévention qui est faite autour des risques de compromission. Le mot d'ordre général est : ne communiquez jamais vos données si on vous les demande.

Je l'ai signalé à la personne au téléphone et on me répond que dans ce cas de figure, c'est pas la banque qui contacte le client mais le client qui fait la démarche d'appeler donc aucun risque.
Est ce qu'on est d'accord qu'il existe un scénario pour que le client pense être en contact téléphonique avec sa banque alors qu'il est en ligne avec un accueil automatique qui usurpe sa banque ?
Je pense aux liens html de type "tel:" dans les mails qui affiche le bon numéro mais qui en réalité en compose un autre.

Qu'en pensez-vous ?
votre avatar
La banque demande un code secret ? Je ne serais pas étonné que ce soit interdit par des regles bancaire ça …
votre avatar
Précisément ce n'est pas juste un code secret, c'est le code secret (et l'unique) qui me sert d'authentification pour gérer les comptes en ligne.
votre avatar
Tu es chez HSBC on dirait. Quand tu téléphone, tu dois prouver qui tu es et ils te demandent quelques chiffres particuliers dans une série que tu possèdes déjà.
votre avatar
Pour les nommer, c'est la banque SG. C'est un fonctionnement nouveau pour moi car ils ont absorbé mon ancienne banque récemment.
Je comprends l'idée de prouver qui je suis mais de là à devoir taper mon code secret, je trouve que ça ouvre une porte compliquée.
votre avatar
Et pour rappel : aucune banque ne vous demandera JAMAIS de lui communiquer un numéro que vous allez recevoir par SMS ou la confirmation d'une opération via votre application bancaire.

Ben justement on a eu le cas samedi avec ma femme, mail envoyé à notre conseillère pour augmenter temporairement le plafond des virements, et appel de l'agence un peu plus tard avec opération à valider pour vérifier que c'est bien nous qui faisions la demande.
votre avatar
aucune banque ne vous demandera JAMAIS [...] la confirmation d'une opération via votre application bancaire.
Je viens juste d'effectuer un virement à partir du site web (site que je n'utilise pratiquement pas, utilisant l'appli), et on m'a demandé confirmation sur l'appli...
votre avatar
J'aurais peut être du plus précis sur le contexte, même si cela me semblait évident... Pour une opération dont vous êtes à l'origine, oui, on peut avoir une confirmation à donner (le cas du virement par le web, je l'ai déjà eu).

Mais un conseiller ne vous appellera jamais sans avoir été sollicité pour vous demander un code ou une confirmation via l'application bancaire. Jamais. Un conseiller qui fait ça, c'est pas votre conseiller, c'est un escroc.
votre avatar
Perso ce n’est pas l’IBAN qui me dérange le plus c’est l’IMEI et le numéro de la SIM.
Quelles sont les possibilités réelles de recréation de carte sim ou de spoofing du numéro avec ces informations ?
Car dans ce cas - et avec les autres informations dont l’Iban - deviennent possibles pas mal d’usurpations
votre avatar
L'IMSI ne fait courir aucun risque : il y a une authentification (cryptographie) entre la SIM et le réseau. La clé d'authentification dans la SIM reste secrète.
L'IMEI ne sert pas non plus à authentifier. Par contre, je ne vois pas pourquoi il figure dans les données volées sauf dans le cas où l'abonnement a été pris avec l'achat d'un mobile.
votre avatar
@SébastienGavois Je me permets d'ajouter une petite explication sur "Encore heureux ! On se demanderait bien pourquoi un « outil de gestion de commandes » des clients aurait accès à de telles informations personnelles. " En fait, chez pas mal d'opérateurs Telco, la gestion des commandes est à prendre au sens extensif du terme, à savoir un "acte de gestion". Typiquement, un changement de rib est une commande, un ajout ou une suppression d'option est une commande, une demande d'exercices de droits rgpd est une "commande", un changement d'adresse, de carte sim, de forfait, etc. Bref, un outil de gestion de commande s'entend comme un CRM en fait, ce qui explique qu'il y ait autant de données.

RED by SFR informe ses clients d’une nouvelle fuite, avec une ribambelle de données

Fermer