Quels sont les risques pour les victimes possédant des IBAN et des informations volées ?

L’opérateur français a annoncé jeudi 19 septembre avoir été victime d’un piratage informatique ayant entraîné une fuite de données personnelles de ses utilisateurs. « Le 3 septembre, SFR a détecté un incident de sécurité impliquant un outil de gestion des commandes de ses clients », a indiqué l’entreprise dans un communiqué envoyé aux personnes concernées. L’intrusion a entraîné un accès non autorisé à des données personnelles, dont la nature et le volume doivent inciter les victimes à la plus grande vigilance.

Selon SFR, les données compromises couvrent le « nom, prénom, coordonnées fournies lors de la commande (numéro de téléphone, adresse électronique et postale, adresse de livraison le cas échéant), données contractuelles (offre souscrite, contenu de la commande) ainsi que le numéro d’identification du terminal et de la carte SIM (pour les commandes de terminaux mobiles). Plus problématique, pour certains clients, dont SFR n’a pas dévoilé la proportion, Cette fuite de données a également affecté les IBANLe numéro qui identifie un compte bancaire. L’opérateur assure que les mots de passe, les détails des appels et le contenu des messages envoyés ne sont pas concernés. L’incident a été signalé à la CNIL et une plainte a été déposée auprès du procureur de la République.

Interrogé par RTL, SFR confirme que L’incident a touché les abonnés réguliers ainsi que les abonnés à son offre RED by SFR.Mais l’opérateur dit ne pas être en mesure de préciser à ce stade le nombre total de clients concernés par la fuite de données. Quelques jours plus tôt, des experts en cybersécurité évoquaient un accès frauduleux au compte d’un technicien de l’opérateur qui aurait compromis 50 000 dossiers clients. Les personnes dont les informations ont été compromises ont commencé à être prévenues par email. Toutes les victimes n’avaient pas été informées au moment de la publication de cet article.La communication devrait se poursuivre encore quelques jours. Un numéro vert a été mis à disposition des personnes qui souhaiteraient une assistance au 0805 80 4949. SFR indique également avoir « renforcé ses procédures d’authentification pour toute demande de changement de coordonnées ».

Un risque de phishing, d’échange de carte SIM et de retraits frauduleux

Les données récupérées par les attaquants doivent inciter à la prudence. Les informations seront probablement utilisées par des cyber-malveillants pour mener des attaques de phishing et tenter de glaner l’accès à d’autres services numériques auprès des clients de l’opérateur. C’est pourquoi il est important de ne pas répondre aux sollicitations par email, SMS ou téléphone qui inciteraient à la communication d’informations personnelles. D’une manière générale, il est plus prudent d’agir de manière proactive en se connectant directement aux services souhaités, sans intermédiaire. Cet événement est également l’occasion de vérifier que les comptes associés au numéro de téléphone exposé dans la fuite de données de SFR sont suffisamment bien protégés pour éviter un éventuel effet domino.

Autre écueil qui guette les clients SFR : des données telles que les informations client, le numéro d’identification du smartphone, le numéro de carte SIM et l’IBAN, peuvent être croisées avec d’autres informations disponibles dans les milieux cybercriminels et utilisées pour réaliser des opérations frauduleuses. Attaques par échange de carte SIMArmés de ces éléments, les escrocs peuvent tenter de se faire passer pour une personne auprès de l’opérateur afin de transférer son numéro sur une autre carte SIM et prendre le contrôle de ses comptes en recevant les codes de récupération sur le nouvel appareil.

Les experts pointent également le risque que les coordonnées bancaires dérobées lors de l’incident soient utilisées par des cybercriminels pour effectuer des retraits frauduleux, en envoyant de faux mandats aux banques des victimes. Les clients SFR sont donc encouragés à surveiller attentivement les transactions sur leurs comptes bancaires et à contacter leur banque en cas de transaction non souhaitée. Les banques sont légalement tenues de rembourser ces transactions indues.

En savoir plus