En direct
Best of
Best of du 3 au 9 août
En direct
© Reuters
Orange a reconnu ce mardi 6 mai un nouveau vol de données.
Inévitable

2e vol massif de données chez Orange en 3 mois : pourquoi l'opérateur constitue une cible privilégiée des cyber-attaques

Publié le 07 mai 2014
Orange reconnaissait le 6 mai avoir été victime d'un nouveau vol massif de données, avec 1,3 millions de personnes touchées. Cette nouvelle fuite, à trois mois d'écart de la précédente, souligne l'intérêt que présente Orange pour les différents profils de cyber-criminels, tantôt incarnation des services secrets et de la surveillance en France, tantôt véritable trésor d'informations.
Fabrice Epelboin est enseignant à Sciences Po et cofondateur de Yogosha, une startup à la croisée de la sécurité informatique et de l'économie collaborative.
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Fabrice Epelboin
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Fabrice Epelboin est enseignant à Sciences Po et cofondateur de Yogosha, une startup à la croisée de la sécurité informatique et de l'économie collaborative.
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Orange reconnaissait le 6 mai avoir été victime d'un nouveau vol massif de données, avec 1,3 millions de personnes touchées. Cette nouvelle fuite, à trois mois d'écart de la précédente, souligne l'intérêt que présente Orange pour les différents profils de cyber-criminels, tantôt incarnation des services secrets et de la surveillance en France, tantôt véritable trésor d'informations.

Atlantico : Orange reconnaissait ce mardi 6 mai un nouveau vol de données concernant cette fois-ci plus d'un million de personnes. Concrètement, qu'est-ce que cela laisse présager pour les jours qui viennent ? A quoi les clients d'Orange doivent-ils s'attendre ? S'agit-il d'une fuite de même ampleur que celle de Février ?

Fabrice Epelboin : C'est effectivement une faille du même ordre de la fuite déjà constatée en Février. Et pour ce qui est donc des menaces, il faut s'attendre globalement aux mêmes problèmes qu'à l'époque, bien que l'inventivité et du talent des voleurs compte beaucoup dans ce genre de situations. Cela peut aussi bien être du phishing au travers de faux mails de la part d'Orange réclamant des paiements. Cliquer sur le lien indiqué permettrait au voleur d'avoir accès à vos données bancaires. Avec un peu d'imagination, et en étant créatif en matière de cybercriminalité, il est même possible de voler une identité et donc d'aller particulièrement loin ensuite. Il devient possible de profiter de la sécurité sociale de la personne dont on aurait volé l'identité, de refaire une carte vitale à son nom et de la récupérer… Cela peut sembler tordu, mais ça n'en est pas moins possible pour autant. A partir du moment où on a volé l'identité de quelqu'un, et Orange dispose de données identitaires vraiment très pointues, tout est question de créativité criminelle. Quand Orange prétend n'avoir que des noms, c'est un mensonge. Orange ment de façon systématique, c'est la façon dont ils gèrent ce genre de crise. Quand ils sont pris d'abord par The Guardian, puis par le Monde, à travailler main dans la main avec la DCRI, ils mentent à nouveau. Puisqu'il s'agit d'un des plus gros annonceurs de France c'est quelque chose qu'il lui est possible de se permettre.

Il s'agit, cependant, de quelque chose qui fait parti de la vie, en un sens. C'est comme les casses dans les bijouteries, en vérité. On ne peut pas imaginer un monde sans ce genre de criminalité – le fait de ne plus avoir de criminels ne serait pas forcément un indicateur positif, puisqu'il traduirait très certainement un régime dictatorial de la pire sorte qui soit – mais il y a besoin d'éduquer le public, notamment pour qu'il puisse éviter les différentes attaques comme celles relevant du phishing. Ce qui n'est, évidemment, pas compatible avec le fait de délivrer des messages anxiogènes vis-à-vis d'internet. Mais dans le cas présent, cela relève d'une faille de sécurité, et il faut concevoir que la sécurité absolue n'existe pas.

C'est déjà la deuxième fois qu'Orange est frappé par une fuite massive de données en quelques mois. Comment l'expliquer ? La sécurité n'est-elle pas supposée être un pilier du fonctionnement d'Orange ? Quelles peuvent-être les raisons qui poussent le groupe à ne pas s'en soucier ?

C'est la deuxième fois qu'on en entend parler, en tout cas. Mais il est probable qu'il y en ait eu beaucoup d'autres.

Il y a une explication assez simple, je pense, et qui était déjà employée par Sony il y a trois ans quand quelques hackers avaient réussi à pirater le Playstation Network : au fond, c'est quelque chose de bien trop gros pour être défendu. En termes de stratégie américaine, on dit "Too big prospection to be safe". C'est-à-dire que s'il y a un gigantesque territoire à défendre, quelque soit l'armée dont on dispose – car Orange peut être assimilé à une armée, en cela que c'est une antenne des services secrets – il n'est pas possible de le défendre. Moins encore quand ce territoire souffre de plusieurs failles à droite, à gauche.

Orange, c'est la sécurité Française, ce sont les renseignements généraux. Il faut aborder cela comme un ministère, une antenne des renseignements généraux en charge de la surveillance de la population Française. C'est ça, la mission d'Orange. Accessoirement, ils sont également fournisseur d'accès internet, mais leur mission républicaine, c'est cet aspect de surveillance de la population, qu'ils prennent très au sérieux. Ils sont bons en sécurité, mais encore une fois c'est trop grand. D'autant plus qu'Orange est perçu, notamment par les milieux d'activistes comme les services secrets Français, en train de mettre en place une espèce de Big Brother, et donc de mettre en péril le concept de démocratie. Forcément, cela attise les convoitises de criminels qui ont tendance à penser qu'il y a énormément d'informations à récupérer et à utiliser, mais cela attire également des milieux activistes qui souhaitent dénoncer cet état de fait, et qui pour le faire ont les mêmes procédures.

Quels sont les dispositifs mis en place par les opérateurs ?

Nous n'avons pas connaissance de suffisamment de détails, et nous ne les aurons vraisemblablement jamais, pour savoir concrètement quels sont les types de dispositifs mis en place. Ceux-ci variant selon l'attaque, il nous faudrait en savoir un peu plus sur l'attaque pour pouvoir répondre concrètement.

Tout ce que l'on peut dire, c'est qu'il est question de budget de sécurité, dont Orange dispose tout à fait. La sécurité à 100% n'existe pas et qu'Orange est passé dans le "camp des méchants". Orange, dans le milieu de la technologie, c'est Monsanto. Tôt ou tard, il y aura nécessairement des campagnes très agressives, de boycott. La surveillance de la population est quelque chose qui est très mal perçu par cette dernière, et Orange en est au cœur. C'est donc, je pense, normal qu'ils attisent une certaine forme de haine et de convoitise qui mènent à ces attaques. Orange, c'est la surveillance et cela aura nécessairement des conséquences. Les discussions et les conversations n'ont pas encore été volées, et pourtant elles sont enregistrées !

Une troisième fuite est-elle envisageable ? Comment s'en protéger à titre personnel, puisque cela ne semble pas être fait au niveau supérieur ?

Plus qu'envisageable, c'est inévitable. La véritable question ça n'est pas "est-ce que c'est possible", mais quand ça va nous tomber dessus ? Quand découvrirons-nous une nouvelle faille, une nouvelle fuite ? Puisqu'il n'est pas possible de sécuriser quoique ce soit à 100%, il est assuré que cela se reproduira.

Quant à s'en protéger nous même… C'est quelque chose de très compliqué : il n'existe pas véritablement de mesures à prendre, en vérité. En premier lieu, il convient d'éviter Orange en tant que fournisseur d'accès. Etre journaliste, par exemple, et utiliser Orange, cela relève de l'hérésie. Cependant, même sans avoir Orange, les conversations sont interceptées, puisqu'elles finissent nécessairement par passer sur un réseau Orange. Cela reste néanmoins un principe aussi basique que celui du végétarien qui ne mange pas de viande, que de se passer des services d'Orange.

Je crois que la question est légèrement ambiguë, selon que l'on se demande comment échapper à la vigilance d'Orange, ce qui est très compliqué – ils font parti des meilleurs mondiaux en termes de surveillance – et cela demande des compétences assez pointues en informatique, de changer radicalement ses habitudes de travail sur internet en point d'en abandonner certains services en lignes comme Google, et tout un tas de petites habitudes de ce genre qu'il faut perdre pour laisser le moins de traces possibles sur internet. C'est quelque chose de vraiment complexe.
Ne pas être victime d'Orange, en tant que citoyen lambda, c'est tout simplement impossible pour le coup. Dans les fichiers qui ont été volés, il y a des prospects comme des clients. Orange a mis en place des systèmes pour récolter de la donnée personnelle sur des prospects, plus ou moins légalement mais cela n'est pas la question. Ce qui veut dire, concrètement, que parmi les fichiers volés, il y a également des gens qui ne sont pas clients chez Orange. Aujourd'hui, il faudrait que le législateur tape du point sur la table. Ce que personne ne fera : Orange a déjà été pris la main dans le sac à installer le système de surveillance de l'opposition politique de Bacchar el-Assad, Personne n'ouvrira ce dossier-là.

A défaut, une partie de la population finira par apprendre à disparaître d'internet. On trouvera dans cet échantillon des intellectuels, des journalistes, par exemple, mais également des jeunes qui partent faire le Djihad en Syrie. Ce sont les premiers à apprendre ce genre de choses.

Face à ce "laxisme", quelles sont les alternatives dont dispose la Justice ? Est-il possible de forcer Orange à revoir son modèle ?

La Justice ne dispose d'aucun pouvoir là-dessus, depuis la loi de formation militaire. L'article 20 de cette loi exprime de façon très précise que le Premier ministre, le ministre de l'Intérieur, le ministre du Budget ainsi que l'Elysée ont accès aux écoutes de la population Française. Comme ils le souhaitent, sans justification et sans contrôle en justice. Tout action en justice, de presse ou parlementaire est interceptée à temps, désamorcée et déverrouillée avant même qu'elle ne s'exécute. Tout est sous contrôle et sous surveillance de l'Exécutif. Nous sommes passés dans un régime républicain qui a donné les pleins pouvoirs à l'Exécutif, au travers d'une loi qu'on peut qualifier de martiale. C'est assez effrayant, mais les gens comme moi n'ont eu de cesse d'avertir sur ce sujet depuis cinq ans. Cela a vraiment fini par arriver, et cela met plus qu'en péril la démocratie : la presse n'est plus libre, la Justice n'est pas indépendante… Bref, la démocratie est définitivement enterrée.

Les commentaires de cet article sont à lire ci-après
Articles populaires
Période :
24 heures
7 jours
01.

Pourquoi vous devriez éviter le régime keto

02.

Services secrets turcs : les hommes des basses œuvres du président Erdogan

03.

Fleurs et vacheries au G7 : les avis surprenants des dirigeants étrangers sur Emmanuel Macron ; Notre-Dame, victime collatérale de négligence politique ; Julien Dray, mentor repenti d’Emmanuel Macron ; Panne sèche pour la voiture autonome

04.

La guerre de France aura-t-elle lieu ?

05.

Le général iranien Qassem Souleimani, maître de guerre sur le front syro-irakien

06.

Tempête dans les bénitiers : qui de Salvini ou du pape est le plus catholique ?

07.

Jean-Bernard Lévy, celui qui doit faire d’EDF le champion du monde de l’énergie propre et renouvelable après un siècle d’histoire

01.

Cécile Duflot perd le Nord

01.

La guerre de France aura-t-elle lieu ?

02.

Crise de foie, 5 fruits et légumes : petit inventaire de ces fausses idées reçues en nutrition

03.

​Présidentielles 2022 : une Arabe à la tête de la France, ça aurait de la gueule, non ?

04.

Manger du pain fait grossir : petit inventaire de ces contre-vérités en médecine et santé

05.

Jean-Bernard Lévy, celui qui doit faire d’EDF le champion du monde de l’énergie propre et renouvelable après un siècle d’histoire

06.

Services secrets turcs : les hommes des basses œuvres du président Erdogan

01.

La guerre de France aura-t-elle lieu ?

02.

Ces quatre pièges qui pourraient bien perturber la rentrée d'Emmanuel Macron (et la botte secrète du Président)

03.

Record de distribution des dividendes : ces grossières erreurs d'interprétation qui expliquent la levée de bouclier

04.

Un été tranquille ? Pourquoi Emmanuel Macron ne devrait pas se fier à ce (relatif) calme apparent

05.

​Présidentielles 2022 : une Arabe à la tête de la France, ça aurait de la gueule, non ?

06.

Rencontres diplomatiques : Boris Johnson pourrait-il profiter du désaccord entre Paris et Berlin sur le Brexit ?

Commentaires (6)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
*Toute validation est définitive, vous ne pourrez pas rééditer votre commentaire.
zelectron
- 09/05/2014 - 16:23
FT-ORANGE reste un mammouth
dirigé par des vieillards cacochymes ou leur héritiers dircects survivants du système d’État instauré par le CNR à l'époque aux ordres de Moscou. Rien d'étonnant à ce qui se passe, FT n'est entré dans l'ère internet qu'en achetant à prix d'or les compétences qu'elle ne risquait pas d'avoir, culture "Minitel" oblige...
ignace
- 08/05/2014 - 01:36
Cela va finir en orange pressé.....heureusement le jus sera
fourni par les clients

Becaud l'avait prédit
Tu as volé as volé as volé l'orange du Richard
Vous êtes fous, c'est pas moi, je n'ai pas volé l'orange
J'ai trop peur des voleurs, j'ai pas pris l'orange du Richard

Oui, ça ne peut être que toi
Tu es méchant et laid
Y avait comme du sang sur tes doigts
Quand l'orange coulait
Oui c'est bien toi qui l'as volée
Avec tes mains crochues
Oui c'est bien toi qui l'as volée
Y a quelqu'un qui t'a vu
zelectron
- 08/05/2014 - 00:57
LES PLOUCS AUX MANETTES
FT-Orange est toujours dirigée par la vieille garde de fonctionnaires qui sous-traitent tout et croient contrôler la situation qui leur échappe et ce depuis l'arrivée d'internet en France ...