2e vol massif de données chez Orange en 3 mois : pourquoi l'opérateur constitue une cible privilégiée des cyber-attaques<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
France
Orange a reconnu ce mardi 6 mai un nouveau vol de données.
Orange a reconnu ce mardi 6 mai un nouveau vol de données.
©Reuters

Inévitable

Orange reconnaissait le 6 mai avoir été victime d'un nouveau vol massif de données, avec 1,3 millions de personnes touchées. Cette nouvelle fuite, à trois mois d'écart de la précédente, souligne l'intérêt que présente Orange pour les différents profils de cyber-criminels, tantôt incarnation des services secrets et de la surveillance en France, tantôt véritable trésor d'informations.

Fabrice Epelboin

Fabrice Epelboin

Fabrice Epelboin est enseignant à Sciences Po et cofondateur de Yogosha, une startup à la croisée de la sécurité informatique et de l'économie collaborative.

Voir la bio »

Atlantico : Orange reconnaissait ce mardi 6 mai un nouveau vol de données concernant cette fois-ci plus d'un million de personnes. Concrètement, qu'est-ce que cela laisse présager pour les jours qui viennent ? A quoi les clients d'Orange doivent-ils s'attendre ? S'agit-il d'une fuite de même ampleur que celle de Février ?

Fabrice Epelboin :C'est effectivement une faille du même ordre de la fuite déjà constatée en Février. Et pour ce qui est donc des menaces, il faut s'attendre globalement aux mêmes problèmes qu'à l'époque, bien que l'inventivité et du talent des voleurs compte beaucoup dans ce genre de situations. Cela peut aussi bien être du phishing au travers de faux mails de la part d'Orange réclamant des paiements. Cliquer sur le lien indiqué permettrait au voleur d'avoir accès à vos données bancaires. Avec un peu d'imagination, et en étant créatif en matière de cybercriminalité, il est même possible de voler une identité et donc d'aller particulièrement loin ensuite. Il devient possible de profiter de la sécurité sociale de la personne dont on aurait volé l'identité, de refaire une carte vitale à son nom et de la récupérer… Cela peut sembler tordu, mais ça n'en est pas moins possible pour autant. A partir du moment où on a volé l'identité de quelqu'un, et Orange dispose de données identitaires vraiment très pointues, tout est question de créativité criminelle. Quand Orange prétend n'avoir que des noms, c'est un mensonge. Orange ment de façon systématique, c'est la façon dont ils gèrent ce genre de crise. Quand ils sont pris d'abord par The Guardian, puis par le Monde, à travailler main dans la main avec la DCRI, ils mentent à nouveau. Puisqu'il s'agit d'un des plus gros annonceurs de France c'est quelque chose qu'il lui est possible de se permettre.

Il s'agit, cependant, de quelque chose qui fait parti de la vie, en un sens. C'est comme les casses dans les bijouteries, en vérité. On ne peut pas imaginer un monde sans ce genre de criminalité – le fait de ne plus avoir de criminels ne serait pas forcément un indicateur positif, puisqu'il traduirait très certainement un régime dictatorial de la pire sorte qui soit – mais il y a besoin d'éduquer le public, notamment pour qu'il puisse éviter les différentes attaques comme celles relevant du phishing. Ce qui n'est, évidemment, pas compatible avec le fait de délivrer des messages anxiogènes vis-à-vis d'internet. Mais dans le cas présent, cela relève d'une faille de sécurité, et il faut concevoir que la sécurité absolue n'existe pas.

C'est déjà la deuxième fois qu'Orange est frappé par une fuite massive de données en quelques mois. Comment l'expliquer ? La sécurité n'est-elle pas supposée être un pilier du fonctionnement d'Orange ? Quelles peuvent-être les raisons qui poussent le groupe à ne pas s'en soucier ?

C'est la deuxième fois qu'on en entend parler, en tout cas. Mais il est probable qu'il y en ait eu beaucoup d'autres.

Il y a une explication assez simple, je pense, et qui était déjà employée par Sony il y a trois ans quand quelques hackers avaient réussi à pirater le Playstation Network : au fond, c'est quelque chose de bien trop gros pour être défendu. En termes de stratégie américaine, on dit "Too big prospection to be safe". C'est-à-dire que s'il y a un gigantesque territoire à défendre, quelque soit l'armée dont on dispose – car Orange peut être assimilé à une armée, en cela que c'est une antenne des services secrets – il n'est pas possible de le défendre. Moins encore quand ce territoire souffre de plusieurs failles à droite, à gauche.

Orange, c'est la sécurité Française, ce sont les renseignements généraux. Il faut aborder cela comme un ministère, une antenne des renseignements généraux en charge de la surveillance de la population Française. C'est ça, la mission d'Orange. Accessoirement, ils sont également fournisseur d'accès internet, mais leur mission républicaine, c'est cet aspect de surveillance de la population, qu'ils prennent très au sérieux. Ils sont bons en sécurité, mais encore une fois c'est trop grand. D'autant plus qu'Orange est perçu, notamment par les milieux d'activistes comme les services secrets Français, en train de mettre en place une espèce de Big Brother, et donc de mettre en péril le concept de démocratie. Forcément, cela attise les convoitises de criminels qui ont tendance à penser qu'il y a énormément d'informations à récupérer et à utiliser, mais cela attire également des milieux activistes qui souhaitent dénoncer cet état de fait, et qui pour le faire ont les mêmes procédures.

Quels sont les dispositifs mis en place par les opérateurs ?

Nous n'avons pas connaissance de suffisamment de détails, et nous ne les aurons vraisemblablement jamais, pour savoir concrètement quels sont les types de dispositifs mis en place. Ceux-ci variant selon l'attaque, il nous faudrait en savoir un peu plus sur l'attaque pour pouvoir répondre concrètement.

Tout ce que l'on peut dire, c'est qu'il est question de budget de sécurité, dont Orange dispose tout à fait. La sécurité à 100% n'existe pas et qu'Orange est passé dans le "camp des méchants". Orange, dans le milieu de la technologie, c'est Monsanto. Tôt ou tard, il y aura nécessairement des campagnes très agressives, de boycott. La surveillance de la population est quelque chose qui est très mal perçu par cette dernière, et Orange en est au cœur. C'est donc, je pense, normal qu'ils attisent une certaine forme de haine et de convoitise qui mènent à ces attaques. Orange, c'est la surveillance et cela aura nécessairement des conséquences. Les discussions et les conversations n'ont pas encore été volées, et pourtant elles sont enregistrées !

Une troisième fuite est-elle envisageable ? Comment s'en protéger à titre personnel, puisque cela ne semble pas être fait au niveau supérieur ?

Plus qu'envisageable, c'est inévitable. La véritable question ça n'est pas "est-ce que c'est possible", mais quand ça va nous tomber dessus ? Quand découvrirons-nous une nouvelle faille, une nouvelle fuite ? Puisqu'il n'est pas possible de sécuriser quoique ce soit à 100%, il est assuré que cela se reproduira.

Quant à s'en protéger nous même… C'est quelque chose de très compliqué : il n'existe pas véritablement de mesures à prendre, en vérité. En premier lieu, il convient d'éviter Orange en tant que fournisseur d'accès. Etre journaliste, par exemple, et utiliser Orange, cela relève de l'hérésie. Cependant, même sans avoir Orange, les conversations sont interceptées, puisqu'elles finissent nécessairement par passer sur un réseau Orange. Cela reste néanmoins un principe aussi basique que celui du végétarien qui ne mange pas de viande, que de se passer des services d'Orange.

Je crois que la question est légèrement ambiguë, selon que l'on se demande comment échapper à la vigilance d'Orange, ce qui est très compliqué – ils font parti des meilleurs mondiaux en termes de surveillance – et cela demande des compétences assez pointues en informatique, de changer radicalement ses habitudes de travail sur internet en point d'en abandonner certains services en lignes comme Google, et tout un tas de petites habitudes de ce genre qu'il faut perdre pour laisser le moins de traces possibles sur internet. C'est quelque chose de vraiment complexe.
Ne pas être victime d'Orange, en tant que citoyen lambda, c'est tout simplement impossible pour le coup. Dans les fichiers qui ont été volés, il y a des prospects comme des clients. Orange a mis en place des systèmes pour récolter de la donnée personnelle sur des prospects, plus ou moins légalement mais cela n'est pas la question. Ce qui veut dire, concrètement, que parmi les fichiers volés, il y a également des gens qui ne sont pas clients chez Orange. Aujourd'hui, il faudrait que le législateur tape du point sur la table. Ce que personne ne fera : Orange a déjà été pris la main dans le sac à installer le système de surveillance de l'opposition politique de Bacchar el-Assad, Personne n'ouvrira ce dossier-là.

A défaut, une partie de la population finira par apprendre à disparaître d'internet. On trouvera dans cet échantillon des intellectuels, des journalistes, par exemple, mais également des jeunes qui partent faire le Djihad en Syrie. Ce sont les premiers à apprendre ce genre de choses.

Face à ce "laxisme", quelles sont les alternatives dont dispose la Justice ? Est-il possible de forcer Orange à revoir son modèle ?

La Justice ne dispose d'aucun pouvoir là-dessus, depuis la loi de formation militaire. L'article 20 de cette loi exprime de façon très précise que le Premier ministre, le ministre de l'Intérieur, le ministre du Budget ainsi que l'Elysée ont accès aux écoutes de la population Française. Comme ils le souhaitent, sans justification et sans contrôle en justice. Tout action en justice, de presse ou parlementaire est interceptée à temps, désamorcée et déverrouillée avant même qu'elle ne s'exécute. Tout est sous contrôle et sous surveillance de l'Exécutif. Nous sommes passés dans un régime républicain qui a donné les pleins pouvoirs à l'Exécutif, au travers d'une loi qu'on peut qualifier de martiale. C'est assez effrayant, mais les gens comme moi n'ont eu de cesse d'avertir sur ce sujet depuis cinq ans. Cela a vraiment fini par arriver, et cela met plus qu'en péril la démocratie : la presse n'est plus libre, la Justice n'est pas indépendante… Bref, la démocratie est définitivement enterrée.

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !