7.2.2018, Sandra Imsand
L’opérateur a indiqué que des informations personnelles de 800000 personnes ont été détournées. Une affaire qui rappelle la faiblesse de nos lois.
Aujourd’hui 7 février 2018, Swisscom a annoncé que les nom, prénom, adresse et date de naissance de nombreuses personnes ont été détournées suite à un piratage chez l’un de ses partenaires. Au total, 800000 clients sont concernées, principalement ceux du réseau mobile, ainsi que des détenteurs d’un numéro de M-Budget Mobile. Selon la réponse obtenue par un de nos membres, la fuite provient d’un «partenaire technique basé en France qui s’est fait pirater ses données d’accès à une base de données de Swisscom.»
L’opérateur a pris connaissance de l’affaire en automne dernier déjà, et a immédiatement contacté le Préposé fédéral à la protection des données pour l’en informer. Il a également renforcé les mesures de sécurité pour que ce genre de choses ne se reproduise plus.
Danger de publicité: activez le Callfilter
Les clients Swisscom peuvent envoyer le sms «info» au 444 pour savoir s’ils sont touchés ou non. La FRC recommande ensuite aux personnes lésées d’activer le Callfilter (fruit d’une négociation entre la FRC et Swisscom pour lutter contre les appels indésirables) afin de se protéger de la publicité, dans la mesure où leurs données pourraient être utilisées à des fins de marketing. Problème: ce filtre n’est pas disponible ni pour les anciens petits abonnements et les offres prépayées Swisscom ni pour les abonnés M-Budget.
L’opérateur se défend en déclarant que les données volées sont pour la plupart disponibles dans l’annuaire. Une justification bien faible, dans la mesure où il s’agit le plus souvent de numéros mobiles, qui ne figurent généralement pas dans les bottins ni sur internet. Sans compter que la main mise sur des dates de naissance permet à des indélicats de cibler une partie de la population, des seniors plus vulnérables par exemple.
Origine du piratage
La fuite des données provient d’un partenaire de distribution de produits Swisscom tel qu’Interdiscount, M-electronics, Mobilezone, etc. Ils ont accès aux informations des clients mais uniquement en ce qui concerne les nom, prénom, date de naissance et adresse – et non les données liées aux moyens de paiement.
Cela représente plusieurs milliers de succursales, donc autant d’endroits où des données peuvent être dérobées.
Si le piratage est difficilement évitable à 100%, la FRC attend évidemment des grandes entreprises dont les données sont aussi exposées (ici, via le nombre de revendeurs) qu’elles mettent en place des processus de sécurité sophistiqués pour éviter de tels téléchargements en masse. Une preuve de plus qu’une révision de la Loi sur la protection des données (LPD) est urgente pour que des mesures de sécurité fortes soient imposées.
La FRC s’associe à la démarche de Sébastien Fanti, préposé cantonal valaisan à la protection des données, pour exiger des réponses de Swisscom quant aux données détenues par l’opérateur ainsi que celles transmises à des sociétés tierces.