La semaine dernière était classée noire au niveau des fuites de données : Boulanger, Cultura, DiviaMobilités, Truffaut, Cybertek et Grosbill (qui font partie du même groupe) ainsi que l’Assurance retraite. Après une petite accalmie, les affaires reprennent chez RED by SFR, la marque « low cost » de SFR.
Un email a été envoyé aux clients concernés : « Le 3 septembre dernier, SFR a détecté un incident de sécurité portant sur un outil de gestion de commandes de ses clients. Cet incident a entrainé un accès externe non autorisé à des données personnelles vous concernant ».
Bonjour @SFR,
Quelles sont les mesures que vous avez mises en place ?
— rBarrat (@Davtux) September 19, 2024
« Exclusivement des données suivantes » y’a TOUTES mes données perso dedans ! Votre communication est lacunaire. #DataProtection #rgpd @CNIL pic.twitter.com/ESyj8p421Q
La marque au carré rouge joue du sarcasme (enfin, on espère…) en expliquant que le périmètre concerne « exclusivement des données suivantes », comme si c’était une bonne nouvelle : nom, prénom, coordonnées, données contractuelles (type de forfait, contenu de la commande), IBAN, numéro d’identification du smartphone et de la carte SIM… excusez du peu.
SFR affirme qu’aucune autre donnée n’est concernée, comme le mot de passe, le « détail de vos appels et le contenu de vos SMS ». Encore heureux ! On se demanderait bien pourquoi un « outil de gestion de commandes » des clients aurait accès à de telles informations personnelles.
L’incident est clos, les « procédures d’authentification pour toute demande de modification de coordonnées de contact » ont été renforcées. La CNIL a été informée, comme la loi l’y oblige. Une plainte a aussi été déposée, affirme la société.
Selon l’expert en cybersécurité SaxX. sur X, cette fuite pourrait être celle révélée le 4 septembre. La chronologie des faits pourrait correspondre en tout cas. Le pirate revendiquait le vol des données de 50 000 clients, un chiffre à confirmer. Nous avons évidemment contacté Altice France afin de savoir combien de clients étaient concernés, que ce soit chez RED by SFR ou chez SFR en direct le cas échéant, mais sans réponse pour l’instant.
Toujours selon SaxX., qui écume les forums spécialisés, « 1,4 million de données de SFR » auraient été mises en vente en juillet de cette année.