Piratage chez SFR : IBAN, adresse, numéro de téléphone…
Ca ne fait qu’une dizaine de jours depuis le piratage informatique chez Boulanger, Cultura, Truffaut… C’est maintenant au tour de l’opérateur français SFR et sa filiale Red by SFR d’annoncer avoir été victime d’une cyberattaque. Un piratage d’envergure puisque les données volées sont critiques : IBAN, numéro de carte SIM, nom, prénom et adresse des clients…
C’est par un mail que l’opérateur a informé ses clients. Il est donc (officiellement) question du vol de :
- Nom de famille du client
- Prénom
- Adresse postale
- Numéro de téléphone personnel
- Adresse e-mail personnelle
- Offre SFR / Red souscrite
- IBAN (RIB)
- Numéro d’identification du smartphone
- Numéro de la carte SIM
La fuite de données SFR et Red by SFR daterait du 3 septembre dernier, l’entreprise a donc bien tardé à communiquer sur le sujet. Il n’y avait pas eu d’information préalable de la part des pirates, comme dans l’affaire Boulanger où le hacker vendait les informations avant le communiqué officiel.
Quel est le risque de ce piratage de SFR
Le vol d’un RIB / IBAN (International Bank Account Number) peut faire paniquer mais on ne peut pas accéder à votre compte bancaire avec un simple RIB. On ne peut pas faire des virements avec un RIB, à part pour vous envoyer de l’argent ce qui risque de ne pas être le cas. 🙂
Le risque est d’être victime de phishing (hameçonnage) et d’usurpation d’identité. Une personne mal intentionnée pourrait souscrire à un abonnement, avec votre RIB / IBAN, en se faisant passer pour vous. Ainsi, vous seriez débité des sommes prélevées par une entreprise avec laquelle vous n’avez rien contracté.
On peut mettre ce risque en relation avec le faible nombre de prélèvements frauduleux : en 2023, en France, seul 0,001 % des prélèvements n’étaient pas demandés par leur détenteur, selon un rapport de la Banque de France. C’est 53 fois moins que les paiements par CB et 78 fois moins que la fraude de chèques.
Autre risque, avéré lui aussi, que les numéros de cartes SIM récoltés servent à usurper la confirmation de authentification à double facteur (recevoir un code par SMS pour valider une opération bancaire, par exemple).
Toutes les données récupérées du piratage chez SFR peuvent aussi être additionnées à des informations provenant d’autres fuites et ainsi, en croisant les données, enrichir tout
Que faire pour se protéger
On ne peut pas changer d’adresse postale ni de coordonnées bancaires (IBAN, RIB). On ne peut pas non plus changer d’adresse de courriel à chaque piratage d’un service en ligne. La première démarche est de modifier le mot de passe du compte client chez SFR et Red by SFR.
Un SMS et un mail sont envoyés pour confirmer le changement de mot de passe du compte SFR ou Red by SFR.
Cette fois-ci, c’est SFR qui prend un coup. Pas cool pour les clients, mais bon, pas de panique non plus…. Heureusement, comme le dit l’article, on ne peut pas vider votre compte en banque avec juste un RIB