Gros vol de données chez Swisscom
Les données de 800 000 clients, dont leurs nom, date de naissance et numéro de téléphone mobile, ont été volées chez un partenaire de l’opérateur. Ces informations pourraient être utilisées pour commettre des actes délictueux
Les données de 800000 clients de Swisscom ont été dérobées. A l’occasion de la présentation de ses résultats annuels, l’opérateur a annoncé que l’un de ses partenaires s’est fait voler ces informations «pas particulièrement sensibles» où figurent noms, adresses, dates de naissance et numéros de téléphone. L’opérateur dit avoir pris des mesures et permet à ses clients de vérifier par eux-mêmes s’ils ont été victimes de cet acte.
Il suffit d’une seconde et d’un SMS à un client de Swisscom pour savoir si ses données ont été volées. Mais si ses informations sont bel et bien en mains de pirates informatiques, les conséquences pourraient survenir aujourd’hui comme dans plusieurs semaines. Mercredi, l’opérateur a annoncé que les données de 800000 de ses clients ont été dérobées. Les noms, adresses, dates de naissance et numéros de téléphone mobile de ces personnes sont détenues par des voleurs dont l’identité est encore inconnue.
Pour savoir si l’on est touché, il suffit d’envoyer un SMS avec le texte «info» au numéro 444. Immédiatement, Swisscom répond par SMS qu’il n’y a pas de souci. Mais dans certains cas, l’opérateur envoie ce message: «Vos données client ont été détournées (sic). Swisscom n’a constaté à ce jour aucune utilisation abusive. Des informations supplémentaires sont disponibles sur www.swisscom.ch/donneesclient. Swisscom.» Dans ce cas, pour les clients privés, l’opérateur ne donne qu’un conseil: installer son filtre gratuit contre les appels publicitaires, appelé «Callfilter», pour se prémunir contre ces nuisances potentielles. Swisscom affirme avoir pris des mesures pour qu’un tel incident ne se reproduise plus.
Lien avec la France?
Comment l’opérateur, qui compte au total 6,6 millions de clients mobiles, a-t-il pu se faire voler autant de données? Swisscom affirme que c’est l’un de ses «partenaires de distribution», en possession de ces données, qui a été piraté. Les coupables utilisaient une adresse IP française, selon l’opérateur, qui a découvert le vol en octobre 2017. Pourquoi n’avoir communiqué que quatre mois plus tard? «Il nous a d’abord fallu comprendre ce qui s’était passé, colmater la brèche et prendre des mesures pour que cela ne puisse plus se reproduire», répond Philippe Vuilleumier, responsable de la sécurité chez Swisscom.
L’entreprise se veut rassurante. Selon son communiqué, «d’après la loi sur la protection des données, ces données sont considérées comme «n’étant pas particulièrement sensibles». Petit souci: comme le relève le juriste François Charlet, spécialiste de ce type de problèmes, ce terme n’a aucun sens juridiquement. «C’est un problème de traduction, nous voulions dire que ce ne sont pas des données sensibles, comme des mots de passe ou des données bancaires», répond Philippe Vuilleumier. Il ajoute: les informations dérobées «sont en grande partie accessibles publiquement ou figurent dans les annuaires».
Mais cela pose un double problème. D’abord, les numéros mobiles ne figurent qu’extrêmement
rarement dans les annuaires. «Certes, mais vous donnez parfois votre numéro de mobile pour participer à des concours», répond Philippe Vuilleumier.
Même pas un SMS d’excuses
Autre problème: les données volées, même jugées non sensibles, peuvent permettre de faire du social engineering et de se faire par exemple passer
pour un client Swisscom pour obtenir ensuite des données de carte de crédit. «Les criminels sont généralement très créatifs pour monétiser des informations volées, explique Steven Meyer, directeur de la société de sécurité ZENData. Ils peuvent aussi envoyer de la publicité très ciblée en fonction de l’adresse de la personne par SMS ou télémarketing. Ou appeler une personne sur son portable avant de faire un cambriolage pour savoir s’il est en vacances.»
Le spécialiste en sécurité estime aussi que Swisscom «devrait envoyer un SMS à toutes les personnes concernées pour s’excuser, expliquer ce qu’il s’est passé et préciser le risque que la victime encourt et donner des recommandations pour le diminuer». Non, estime le responsable de Swisscom: «C’est plus rapide si les gens vérifient par eux-mêmes s’ils sont touchés. Nous voulons aussi éviter que nos centres d’appel soient surchargés. Et nous avons prévenu nos clients commerciaux par courrier.» Sur ce point, François Charlet estime que Swisscom a agi de manière correcte: «L’opérateur a envoyé un communiqué et les médias parlent de cette affaire, je pense que c’est suffisant. Ce vol de données est grave par son ampleur, mais pas forcément par la qualité des données dérobées.»
Nouvelles obligations
A noter que la nouvelle loi suisse sur la protection des données, en cours d’élaboration, aurait permis à un juge de sanctionner Swisscom. «Selon le projet de loi, l’opérateur aurait pu écoper d’une amende allant jusqu’à 250 000 francs, poursuit François Charlet. Mais, contrairement à la nouvelle loi européenne, qui entrera en vigueur en mai, c’est un juge pénal qui aurait pu prononcer cette peine, et non un préposé à la
«C’est plus rapide si les gens vérifient par eux-mêmes s’ils sont touchés. Nous voulons aussi éviter que nos centres d’appel soient surchargés» PHILIPPE VUILLEUMIER, RESPONSABLE DE LA SÉCURITÉ CHEZ SWISSCOM
protection des données.» Peut-on déduire de l’affaire Swisscom que les entreprises suisses protègent mal leurs données? «On pourra mieux répondre à cette question quand la nouvelle loi sur la protection des données sera en vigueur car elle obligera les entreprises à annoncer des cas de violation de la sécurité de données personnelles», estime Philippe Oechslin, de la société Objectif Sécurité, à Gland.
Dans un communiqué publié mercredi, le préposé fédéral à la protection des données et à la transparence (PFPDT) ne trouvait rien à redire à l’attitude de Swisscom: «Les faits étant ainsi établis et Swisscom ayant effectué les clarifications et pris les mesures nécessaires et informé les clients, le PFPDT estime, sur la base des éléments actuels, qu’il n’existe pas de raison de prendre des mesures formelles.»
▅