Aller au contenu principal
Encore 1/5 articles gratuits à lire
Ce sont les clients du réseau fixe de Wingo (Swisscom) et M-Budget qui ont été visés par l’attaque.
© CARLO REGUZZI

Technologie

Vingt mille clients de Swisscom et Migros piratés

Des clients en téléphonie fixe de Wingo, filiale de Swisscom, et de M-Budget se sont fait pirater leur compte. Leur nom, prénom, adresse, numéro de téléphone et données d’accès ont été subtilisés. Ces informations pourraient mener à de nouvelles attaques

C’est une affaire hors norme qui vient de secouer la Suisse. 20 000 clients de l’opérateur télécom Wingo – appartenant à Swisscom –, mais aussi de Migros, viennent de se faire pirater leur compte. Leur nom, prénom, adresse, numéro de téléphone, données d’accès et adresse IP de leur modem ont été volés par des pirates informatiques. Ce vol massif de données pourrait entraîner par la suite de nouvelles attaques, plus subtiles, contre ces clients.

C’est par un simple e-mail que les utilisateurs des services de téléphonie fixe de Wingo et de M-Budget apprennent, fin février, qu’ils ont été la cible d’une attaque. Les deux sociétés ont des liens étroits. Wingo est une filiale appartenant à 100% à Swisscom, spécialisée dans les produits «low cost»: elle vend à des prix attractifs téléphonie fixe, accès à Internet et depuis peu téléphonie mobile. M-Budget a aussi un lien avec Swisscom, puisque Migros revend, aussi comme opérateur «low cost», des services fixe et mobile.

Lire aussi: Avec Wingo, Swisscom se lance sur le marché du low-cost

Le 27 février, les clients de Wingo et de M-Budget fixe reçoivent un e-mail de leur prestataire, au contenu identique – sauf que Wingo, marque qui cible les jeunes, tutoie ses clients. «Nous aimerions t’informer qu’un service Wingo a été victime d’un piratage informatique», commence le message, qui affirme, plus loin en gras, qu'«aucune conséquence financière n’est à déplorer pour toi et il n’y a rien à entreprendre de ton côté». Mais «les criminels ont réussi à copier des données personnelles qui te concernent […]. Des données plus sensibles, telles que des données de paiement ou de communication n’ont pas pu être dérobées».

Appels coûteux

Tant Wingo que Migros écrivent qu’il est «peu probable» que les données volées «soient utilisées à d’autres fins abusives». Contacté, Migros explique qu'«en principe, les criminels avaient accès aux données de 20 000 clients M-Budget et Wingo. […] Ils ont exploité uniquement les accès de 5 clients M-Budget pour y faire 14 appels frauduleux». Et il semblerait que les pirates aient exploité les données d’un client Wingo pour effectuer un appel frauduleux. Migros poursuit en expliquant que c’est un partenaire des deux sociétés, qui leur fournit le service de téléphonie via Internet (VoIP-Provider) qui a été attaqué, et pas Wingo et M-Budget.

Dans le cadre de ce cybercrime, connu sous le nom d'«escroquerie VoIP», les criminels déclenchent des appels coûteux, dont ils ont empoché les frais, explique Migros. La société parle «d’importantes conséquences financières» – mais les clients finaux ne sont pas affectés.

Qui est ce partenaire piraté? «Nous ne pouvons pas dévoiler son nom pour des raisons de confidentialité commerciale», explique Migros. Ce n’est a priori pas Swisscom. Et depuis, des mesures de sécurité ont été prises. Les deux sociétés excluent de dédommager leurs clients.

«Cette fuite pose problème»

Affaire close? Non. «La masse de données semble assez importante, analyse Nicolas Capt, avocat au Barreau de Genève et spécialisé dans la technologie. Cette fuite pose clairement problème dans la mesure où les informations obtenues pourraient être utilisées pour commettre des infractions à l’endroit des personnes visées. Le cas est donc à tout le moins sérieux.»

Un avis que partage la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI) de la Confédération: «Selon les affirmations de Migros, il semble que l’on puisse écarter l’hypothèse d’un vol de données hautement sensibles (mots de passes, numéros de cartes de crédit, etc.), affirme Max Klaus, responsable adjoint de la centrale. Mais certaines données considérées non sensibles peuvent parfois être utilisées à des fins malhonnêtes. On pense par exemple à des cas d’attaques usant d’ingénierie sociale, dans lesquelles des auteurs utiliseront certaines informations personnelles pour élaborer un scénario sur mesure.»

Lire aussi: Avec sa marque Wingo, Swisscom relance la guerre des prix en téléphonie mobile

Avec les données personnelles dérobées, les pirates pourraient donc agir plus subtilement pour approcher, ces prochains mois, leurs victimes pour obtenir par exemple des données sur leurs comptes de réseaux sociaux ou leurs comptes bancaires. Ou plus directement pour se faire passer pour ces clients.

Qu’en pense le Préposé fédéral à la protection des données et à la transparence? «Ni Migros, ni Swisscom ne nous ont informés de ce cas. A l’heure actuelle, ils ne sont pas obligés de le faire», explique Jean-Philippe Walter, préposé suppléant. Mais un projet de loi, en consultation jusqu’en avril, pourrait forcer les entreprises à annoncer des violations de données. En l’état, Jean-Philippe Walter estime que, selon les e-mails envoyés, «Migros a informé les clients concernés, ce qui est positif». Selon lui, les clients devraient modifier leurs codes d’accès.

Difficile de garder le contrôle

Ces clients pourraient-ils se retourner contre Migros et Wingo? «En pratique, il est rare que des particuliers intentent une action contre une société après une fuite de leurs données personnelles, estime Nicolas Capt. Pour qu’une telle action aboutisse, il faudrait notamment démontrer que la société n’a pas protégé son système d’information selon les règles de l’art.»

De son côté, Max Klaus estime qu’il «n’est pas de son ressort d’émettre un avis sur le niveau de sécurité d’une entreprise en particulier. Ce qui est intéressant dans ce cas c’est que la faille, selon Migros, semble provenir d’un partenaire. Cela souligne combien il est important – et difficile – pour un prestataire de service de garder un certain contrôle sur l’ensemble de la chaîne de production en termes de sécurité. Une faille chez un prestataire pouvant en effet avoir un impact sur ses propres clients au final.» A ces clients, désormais, de redoubler de prudence.

Publicité
Publicité

La dernière vidéo economie

«Nous tirons parti de la lumière pour améliorer le bien-être des gens»

Candidate au prix SUD de la start-up durable organisé par «Le Temps», la société Oculight est une spin-off de l’EPFL qui propose des aides à la décision dans l’architecture et la construction, aménagement des façades, ouvertures en toitures, choix du mobilier, aménagement des pièces, pour une utilisation intelligente de la lumière naturelle. Interview de sa cofondatrice Marilyne Andersen

«Nous tirons parti de la lumière pour améliorer le bien-être des gens»

n/a
© Gabioud Simon (gam)