Des hackers ont mis en vente les données personnelles des clients de SFR, mais l’opérateur nie toute nouvelle fuite. Que s’est-il réellement passé ?

au sommaire

    Un groupe de hackers semble résolu à se faire un nom en visant les données des Français, et peu importe le nombre de victimes. Un groupe du nom de Near2tlg s'est récemment attaqué à un hôpital à Paris, Axa Direct Assurance, Le Point et plusieurs PME en France. Les pirates auraient aussi attaqué le logiciel SIBO360 de SFR et récupéré les données de 3,6 millions de clients de l'opérateur.

    Near2tlg a mis en vente les données sur son canal TelegramTelegram et sur un forum du dark Web, pour la modique somme de 500 euros. Un prix d'appel pour faire parler d'eux. Ils y ont inclus un échantillon des données personnelles volées pour prouver leur bonne foi. Cependant, SFR nie toute nouvelle attaque et attribue ces données à l'attaque du mois de septembre où 50 000 dossiers de clients ont été volés. Rappelons que l'entreprise a aussi été victime d'un vol de données concernant 1,45 million de clients en juin.

    Des données provenant d’anciennes fuites

    Cette réponse de SFR n'a visiblement pas plu aux hackers, qui ont publié l'ensemble des données qu'ils détenaient. Selon Clubic, la firme maintient sa position et affirme que ces éléments « sont relatifs à un incident passé, résolu et déjà public ». Les pirates auraient assemblé les données provenant de précédentes fuites, comme en témoignerait un certain nombre de doublons et des informations incomplètes.

    Même si ces informations ne proviennent pas d'une nouvelle fuite, cela montre tout de même qu'une grande quantité de données personnelles des clients est dans la nature... Et ce n'est pas le seul opérateur à avoir subi un piratage récemment. Rappelons que les données des 19,2 millions comptes Free ont été volés, et seront ou ne seront pas vendus selon les pirates. Et un échantillon concernant 100 000 personnes a tout de même été publié...

    Quel que soit votre opérateur, il est plus prudent de partir du principe que vos données sont déjà dans la nature, et être très méfiant vis à vis de toute personne qui vous contacte, peu importe à quel organisme elle prétend appartenir, et de quelles informations elle dispose déjà.