Parmi les données concernées par la fuite dont SFR et sa marque RED ont été victimes début septembre, on retrouve l'IBAN, une donnée bancaire. Tombée entre de mauvaises mains, elle pourrait potentiellement devenir dangereuse.
Cette semaine, l'opérateur SFR a envoyé aux dizaines de milliers de clients concernés un courrier électronique pour leur confirmer l'incident de sécurité survenu le 3 septembre 2024. Si les Français sont désormais familiers des fuites de données, celle-ci interpelle tout particulièrement, puisqu'en plus des traditionnels numéro de téléphone, nom, prénom, adresse électronique ou adresse postale, elle a aussi vu fuiter l'IBAN, l'identifiant du compte bancaire des abonnés. Pour les experts que Clubic a pu interroger, l'IBAN, seul, ne pose pas de danger particulier. En revanche, cumulé à d'autres données… c'est une autre histoire.
L'IBAN peut être le point d'entrée vers des attaques plus complexes
« Pour un IBAN seul dans la nature, les risques sont relativement limités », nous explique d'emblée Benoit Grunemwald, expert cybersécurité de ESET. Car oui, pris à part, l'IBAN (International Bank Account Number) ne se situe pas au même niveau de dangerosité qu'un mot de passe ou qu'un numéro de carte bancaire.
Mais « bien que l'IBAN seul ne permette généralement pas d'effectuer des opérations frauduleuses majeures, il peut être utilisé pour tenter des prélèvements non autorisés ou dans le cadre d'une usurpation d'identité plus large », ajoute Paul-Olivier Gibert, le président de l'AFCDP, l'association des correspondants à la protection des données à caractère personnel. Ce dernier fait notamment référence à de futures campagnes de phishing.
Jérôme Thémée, fondateur de l'ESD Cybersecurity Academy, confirme à son tour qu'« il est fort probable que des cybercriminels utilisent prochainement des e-mails frauduleux en se faisant passer pour des banques ou d'autres services en ligne, en s'appuyant sur les informations issues de cette fuite pour crédibiliser leurs attaques ».
Si l'IBAN ne permet pas de retirer de l'argent d'une personne physique, d'une entreprise ou autre, le volume d'informations peut faciliter des techniques d'ingénierie sociale. Benoit Grunemwald note toutefois que « ces opérations malveillantes vont cependant demander aux criminels des ressources techniques et humaines qui ne sont pas à la portée des petits groupes de criminels ou opportunistes ».
Des hackers pourront se servir de l'IBAN pour enrichir une base de données
L'IBAN n'est en tout cas pas la seule donnée d'une certaine sensibilité à faire partie de la fuite de RED by SFR. On retrouve aussi le numéro de la carte SIM de certains clients. Un pirate informatique qui dispose de l'IBAN et du numéro de la carte SIM « pourrait se lancer dans des opérations frauduleuses, comme le smishing (Ndlr : l'escroquerie par SMS) et surtout permettre au final de contourner l'authentification à double facteur », analyse Paul-Olivier Gibert.
« Le hacker pourrait accéder "plus facilement", même si tout est relatif, au compte bancaire pour faire opérer par la victime des opérations malhonnêtes ou en être à l'initiative directement », ajoute-t-il.
D'autres risques découlent de cette fuite de données. Ces informations peuvent être utilisées par les cybercriminels pour enrichir des bases de données. « Le numéro de téléphone, associé au nom et au prénom, peut-être croisé avec des informations provenant d'autres fuites, pour constituer des annuaires inversés », explique Jérôme Thémée. « Ces services sont souvent vendus sur le dark web et permettent à des individus mal intentionnés de retrouver plus facilement des informations personnelles sur une cible via son numéro de téléphone ». Et cela augmente alors les risques de harcèlement ou de fraudes ciblées, qui s'agisse de banques, d'administrations ou d'autres services en ligne.
Existe aussi la possibilité, pour d'autres, de cloner des cartes SIM. « Mais techniquement, ce n'est pas faisable avec les données divulguées », réagit notre expert. Ajoutons à cela le fait que la plupart des opérateurs télécoms offrent aujourd'hui des appels illimités et de grandes enveloppes de données mobiles, la fameuse data, « ce qui rend cette option peu intéressante pour les attaquants ».
Ce que les experts pensent de la communication de SFR
Un peu d'aide s'impose désormais. Si jamais vous avez reçu un e-mail de l'opérateur, quelle doit être votre réaction ? « Tant qu'il n'y a pas de tentative d'usurpation de votre identité ou de fraude, il n'est pas nécessaire de porter plainte, car ceci n'aurait que pour effet d'engorger les services de police ou de gendarmerie, sans vous protéger davantage », analyse Benoit Grunemwald.
Dans sa missive, SFR explique avoir signalé l'incident à la CNIL et déposé plainte auprès du procureur de la République. Sur ce point, l'opérateur a bien agi. Quant à sa communication… « C'est un exercice difficile, chacun jugera avec sa sensibilité la pertinence du message reçu », nous dit l'expert d'ESET. Jérôme Thémée, lui, estime qu'elle est « rassurante et a respecté les protocoles habituels en cas d'incident de ce type, notamment en informant rapidement ses abonné ». Toutefois, le spécialiste aurait aimé voir apparaître un paragraphe sur les risques potentiels liés à cette fuite de données.
Paul-Olivier Gibert, très sensible à la protection des données et toujours à la pointe des règlementations, rappelle que le RGPD, le règlement général européen sur la protection des données, encadre strictement la collecte et l'utilisation des données bancaires. Le patron de l'AFCDP regrette, pour sa part, que les données bancaires ne soient pas considérées, comme le sont les données de santé, comme des informations sensibles aux yeux du RGPD. « Je n'ai pas souvenir que le RGPD fasse cette mention », nous dit-il.
Au moindre doute, n'hésitez plus : utilisez l'outil de diagnostic proposé par la plateforme Cybermalveillance.gouv.fr, qui vient en aide aux victimes.
06 septembre 2024 à 17h34
.
