Série noire pour le carré rouge. Après la divulgation des données personnelles de 1,45 million de clients en juin et la fuite de 50 000 dossiers supplémentaires au début du mois, SFR admet avoir « détecté un incident de sécurité portant sur un outil de gestion de commande de ses clients ». Sans dévoiler l’ampleur de la fuite, l’opérateur reconnait avoir laissé filer toutes les données identifiantes.
Une base de données comportant les informations de 1 445 683 clients de SFR avait été mise en vente au début de l’été sur une plateforme de cybercriminalité. À la rentrée, l’opérateur au carré rouge avait reconnu avoir été piraté par une bande de jeunes hackers, des script kiddies qui avaient réussi à récupérer 50 000 dossiers dans le système d’un sous-traitant réalisant « des interventions techniques en entreprise ».
Au même moment, le 3 septembre pour être précis, l’outil de gestion des commandes de SFR était lui-même victime d’un piratage. Bien que l’opérateur se félicite que le « détail de vos appels » et le « contenu de vos SMS » reste inviolé, la liste des données volées donne le tournis : nom et prénom, adresse électronique et postale, numéro de téléphone, contenu de la commande et offre souscrite, IBAN et même le numéro IMEI et l’identifiant de la carte SIM.
Le jour même, assure l’opérateur, « SFR a pris toutes les mesures nécessaires permettant de clore définitivement l’incident rencontré. » Maigre consolation : à force de perdre des clients, plus de deux millions en deux ans, il ne restera plus beaucoup de données à pirater.
