Les données de 800 000 clients, dont leurs nom, date de naissance et numéro de téléphone mobile, ont été volées chez un partenaire de l’opérateur. Ces informations pourraient être utilisées pour commettre des actes délictueux
Il suffit d’une seconde et d’un SMS à un client de Swisscom pour savoir si ses données ont été volées. Mais si ses informations sont bel et bien en mains de pirates informatiques, les conséquences pourraient survenir aujourd’hui comme dans plusieurs semaines. Mercredi, l’opérateur a annoncé que les données de 800 000 de ses clients ont été dérobées. Les noms, adresses, dates de naissance et numéros de téléphone mobile de ces personnes sont détenues par des voleurs dont l’identité est encore inconnue.
Pour savoir si l’on est touché, il suffit d’envoyer un SMS avec le texte «info» au numéro 444. Immédiatement, Swisscom répond par SMS qu’il n’y a pas de souci. Mais dans certains cas, l’opérateur envoie ce message: «Vos données client ont été détournées (sic). Swisscom n’a constaté à ce jour aucune utilisation abusive. Des informations supplémentaires sont disponibles sur www.swisscom.ch/donneesclient. Swisscom.»
Dans ce cas, pour les clients privés, l’opérateur ne donne qu’un conseil: installer son filtre gratuit contre les appels publicitaires, appelé «Callfilter», pour se prémunir contre ces nuisances potentielles. Swisscom affirme avoir pris des mesures pour qu’un tel incident ne se reproduise plus.
Lien avec la France?
Comment l’opérateur, qui compte au total 6,6 millions de clients mobiles, a-t-il pu se faire voler autant de données? Swisscom affirme que c’est l’un de ses «partenaires de distribution», en possession de ces données, qui a été piraté. Les coupables utilisaient une adresse IP française, selon l’opérateur, qui a découvert le vol en octobre 2017. Pourquoi n’avoir communiqué que quatre mois plus tard? «Il nous a d’abord fallu comprendre ce qui s’était passé, colmater la brèche et prendre des mesures pour que cela ne puisse plus se reproduire», répond Philippe Vuilleumier, responsable de la sécurité chez Swisscom.
L’entreprise se veut rassurante. Selon son communiqué, «d’après la loi sur la protection des données, ces données sont considérées comme «n’étant pas particulièrement sensibles». Petit souci: comme le relève le juriste François Charlet, spécialiste de ce type de problèmes, ce terme n’a aucun sens juridiquement. «C’est un problème de traduction, nous voulions dire que ce ne sont pas des données sensibles, comme des mots de passe ou des données bancaires», répond Philippe Vuilleumier. Il ajoute: les informations dérobées «sont en grande partie accessibles publiquement ou figurent dans les annuaires».
Deux problèmes
Mais cela pose un double problème. D’abord, les numéros mobiles ne figurent qu’extrêmement rarement dans les annuaires. «Certes, mais vous donnez parfois votre numéro de mobile pour participer à des concours», répond Philippe Vuilleumier. Autre problème: les données volées, même jugées non sensibles, peuvent permettre de faire du social engineering et de se faire par exemple passer pour un client Swisscom pour obtenir ensuite des données de carte de crédit. «Les criminels sont généralement très créatifs pour monétiser des informations volées, explique Steven Meyer, directeur de la société de sécurité ZENData. Ils peuvent aussi envoyer de la publicité très ciblée en fonction de l’adresse de la personne par SMS ou télémarketing. Ou appeler une personne sur son portable avant de faire un cambriolage pour savoir s’il est en vacances.»
Le spécialiste en sécurité estime aussi que Swisscom «devrait envoyer un SMS à toutes les personnes concernées pour s’excuser, expliquer ce qu’il s’est passé et préciser le risque que la victime encourt et donner des recommandations pour le diminuer». Non, estime le responsable de Swisscom: «C’est plus rapide si les gens vérifient par eux-mêmes s’ils sont touchés. Nous voulons aussi éviter que nos centres d’appel soient surchargés. Et nous avons prévenu nos clients commerciaux par courrier.» Sur ce point, François Charlet estime que Swisscom a agi de manière correcte: «L’opérateur a envoyé un communiqué et les médias parlent de cette affaire, je pense que c’est suffisant. Ce vol de données est grave par son ampleur, mais pas forcément par la qualité des données dérobées.»
Nouvelles obligations
A noter que la nouvelle loi suisse sur la protection des données, en cours d’élaboration, aurait permis à un juge de sanctionner Swisscom. «Selon le projet de loi, l’opérateur aurait pu écoper d’une amende allant jusqu’à 250 000 francs, poursuit François Charlet. Mais, contrairement à la nouvelle loi européenne, qui entrera en vigueur en mai, c’est un juge pénal qui aurait pu prononcer cette peine, et non un préposé à la protection des données.» Peut-on déduire de l’affaire Swisscom que les entreprises suisses protègent mal leurs données? «On pourra mieux répondre à cette question quand la nouvelle loi sur la protection des données sera en vigueur car elle obligera les entreprises à annoncer des cas de violation de la sécurité de données personnelles», estime Philippe Oechslin, de la société Objectif Sécurité, à Gland.
Dans un communiqué publié mercredi, le préposé fédéral à la protection des données et à la transparence (PFPDT) ne trouvait rien à redire à l’attitude de Swisscom: «Les faits étant ainsi établis et Swisscom ayant effectué les clarifications et pris les mesures nécessaires et informé les clients, le PFPDT estime, sur la base des éléments actuels, qu’il n’existe pas de raison de prendre des mesures formelles.»
Un soupçon de légèreté
Certes, il ne s’agit pas de données ultrasensibles, comme des mots de passe ou des données bancaires. Certes, c’est l’un des 3500 partenaires de Swisscom, et non l’opérateur lui-même, qui a été victime de ce vol. Il n’empêche, Swisscom semble avoir agi avec légèreté dans cette affaire.
En amont, il est étonnant de constater que Swisscom a laissé des partenaires accéder à des sets aussi importants de données sans que cela ne déclenche un système d’alerte interne. Désormais, un tel cas de figure ne pourra plus se reproduire, a promis l’opérateur.
En aval, la communication de Swisscom laisse à désirer. Il aurait dû informer tous ses clients, privés et commerciaux, de la même manière et avec précision. Laisser les clients eux-mêmes faire des demandes par SMS frise la désinvolture. On comprend que la société n’ait pas voulu inquiéter ses clients. Mais elle aurait pu simplement les informer par courrier.
On s’étonne aussi que Swisscom considère que les numéros de téléphone mobile de ses clients figurent de toute façon déjà dans l’espace public. C’est faux: l’immense majorité de ces numéros demeurent privés et ils doivent le rester.
Il est à espérer que cette affaire serve non seulement de leçon à l’opérateur, mais aussi à l’ensemble des entreprises suisses.
Anouch Seydtaghia