Lorsque, par une lettre envoyée le 2 février à ses abonnés Internet, Orange a reconnu qu'une intrusion sur le site orange.fr à partir de la page 'Mon Compte' a affecté les informations personnelles de 800.000 abonnés, il est déjà bien tard, et le doute règne désormais sur les méthodes de l'opérateur !
Revenons sur cette affaire, qui remonte en effet au 16 janvier dernier, date du piratage informatique dont Orange a été victime. Il aura fallu deux semaines à l'opérateur pour avertir ses clients du méfait dont il est la victime (!). Nous dirons plutôt dont sont victimes 800.000 clients d'Orange.
Pourquoi un tel délai entre le piratage et sa révélation ? Orange aurait-il souhaité cacher l'information ? Qu'aurait fait l'opérateur si l'intrusion et le vol de données personnelles étaient demeurés confidentiels ? Car ce n'est pas Orange qui a révélé le forfait, mais la presse où l'information a filtré. Le doute plane sur la stratégie de l'opérateur...
L'information révélée, la communication du groupe a cherché à minimiser les conséquences du piratage. Ainsi apprend-t-on que les 800.000 identités dérobées ne concernent que 3 % des clients Internet d'Orange. Nous analysons ce chiffre différemment : si l'on considère les 9,9 millions d'abonnés Internet Orange à la fin 2012 (9,893 millions d'abonnés ADSL et fibre, source Orange), ce sont en réalité 8 % des clients de l'opérateur qui sont victimes du vol de leurs coordonnées. Et le chiffre de 3 % fait plutôt référence au nombre de foyers connectées en France (environ 25 millions à fin 2013) qui sont concernés.
De même, se voulant encore une fois rassurant en indiquant que l'information ne concerne pas les comptes bancaires et que les mots de passe ne sont pas compromis, Orange veut faire oublier que les informations dérobées restent très sensibles. Le massage indique : « Il peut s'agir des noms, prénoms, adresse postale, adresse mail de contact, numéro de téléphone (fixe ou mobile) ou des informations que vous auriez pu déclarer (composition du foyer, nombre d'abonnements Orange ou concurrents, informations concernant vos préférences de contact). »
On appréciera la forme du message, de « il peut s'agir » à « la récupération éventuelle d'un nombre limité... ». Peu importe la forme qu'on lui donne, ce sont 800.000 coordonnées d'individus et de foyers qui sont dans la nature et qui pourraient être exploitées sous des formes diverses, comme du phishing. Abonnés à Orange, faites attentions aux messages qui vont s'afficher dans votre messagerie...