La semaine dernière était classée noire au niveau des fuites de données : Boulanger, Cultura, DiviaMobilités, Truffaut, Cybertek et Grosbill (qui font partie du même groupe) ainsi que l’Assurance retraite. Après une petite accalmie, les affaires reprennent chez RED by SFR, la marque « low cost » de SFR.
Un email a été envoyé aux clients concernés : « Le 3 septembre dernier, SFR a détecté un incident de sécurité portant sur un outil de gestion de commandes de ses clients. Cet incident a entrainé un accès externe non autorisé à des données personnelles vous concernant ».
Bonjour @SFR,
— rBarrat (@Davtux) September 19, 2024
Quelles sont les mesures que vous avez mises en place ?
"Exclusivement des données suivantes" y'a TOUTES mes données perso dedans ! Votre communication est lacunaire. #DataProtection #rgpd @CNIL pic.twitter.com/ESyj8p421Q
La marque au carré rouge joue du sarcasme (enfin, on espère…) en expliquant que le périmètre concerne « exclusivement des données suivantes », comme si c’était une bonne nouvelle : nom, prénom, coordonnées, données contractuelles (type de forfait, contenu de la commande), IBAN, numéro d’identification du smartphone et de la carte SIM… excusez du peu.
SFR affirme qu’aucune autre donnée n’est concernée, comme le mot de passe, le « détail de vos appels et le contenu de vos SMS ». Encore heureux ! On se demanderait bien pourquoi un « outil de gestion de commandes » des clients aurait accès à de telles informations personnelles.
L’incident est clos, les « procédures d’authentification pour toute demande de modification de coordonnées de contact » ont été renforcées. La CNIL a été informée, comme la loi l’y oblige. Une plainte a aussi été déposée, affirme la société.
Selon l’expert en cybersécurité SaxX. sur X, cette fuite pourrait être celle révélée le 4 septembre. La chronologie des faits pourrait correspondre en tout cas. Le pirate revendiquait le vol des données de 50 000 clients, un chiffre à confirmer. Nous avons évidemment contacté Altice France afin de savoir combien de clients étaient concernés, que ce soit chez RED by SFR ou chez SFR en direct le cas échéant, mais sans réponse pour l’instant.
Toujours selon SaxX., qui écume les forums spécialisés, « 1,4 million de données de SFR » auraient été mises en vente en juillet de cette année.
Commentaires (6)
#1
#2
Le pire c’est que si ce genre de conneries n’arrivait qu’à un seul client par erreur de manip ou autre, n’importe laquelle de ces boîtes ferait semblant d’être désolée et de faire un geste commercial au type qui hurle au téléphone. Mais là non, les types se font poutrer une base de données entière, ça va faire chier des milliers de gens et même pas une excuse ?
#2.1
Vous n’en voulez pas? C’est de votre faute alors vous êtes exposés »
#3
Et comme indique Gilbert_Gosseyn, les clients SFR peuvent s'attendre à la même chose. C'est la même boîte donc pour des questions de rationalité économique les process sont sûrement les mêmes, les failles avec.
#4
On a chié dans la colle, sur ce sujet comme sur tant d'autres. Tu t'attendais à quoi?
Donc de notre côté l'incident est définitivement clos.
Et du tien, ben écoute, j'ai envie de dire: "bonne chance."
Mais en cas de pépin, n'hésite surtout pas à appeler notre hotline qui s'en cogne. Allez, ciao!
#5