Piratage Réglo Mobile : de nombreuses infos personnelles, dont des données bancaires, sont dans la nature
Réglo Mobile, l'opérateur low cost d'E.Lecrec, s'est lui aussi fait pirater et de nombreuses informations personnelles, dont des données bancaires partielles, ont été dérobées. Près de 358 000 clients sont concernés, avec un réel risque de phishing.
Sale temps pour les opérateurs ! Après Free, Bouygues Telecom, Orange ou encore SFR, c'est au tour de Réglo Mobile, le MVNO d'E.Leclerc, d'être la cible d'une cyberattaque. Dans un communiqué publié sur son site, il indique que l'un de ses prestataires a été victime d'une attaque informatique le 13 février dernier, ce qui a entraîné "une extraction non autorisée de données personnelles". Les pirates sont parvenus à mettre la main sur un nombre important de données personnelles des clients, mais aussi, et c'est beaucoup plus embêtant, sur une partie de leurs données bancaires. Près de 358 000 personnes sont concernées.
Piratage Réglo Mobile : une fuite plus importante que prévue
Comme indiqué sur le site officiel, le vol de données concerne les noms, prénoms, adresses postales, adresses électroniques, numéros d'appel et dates de naissance des utilisateurs, mais pas que. En effet, comme le relève le site de Christophe Boutry, qui recense les fuites de données, le hacker revendiquant le piratage aurait également mis la main sur les relevés de consommation, les numéros clients, le code PUK – qui permet de débloquer un smartphone sans avoir besoin du code SIM –, ainsi que des données bancaires, à savoir le code BIC, la RUM –, la référence unique de mandat –, le nom du titulaire de la carte et une partie de l'IBAN. Des informations que nous a confirmées l'opérateur.
Pire encore, et contrairement à ce qui est indiqué sur le site de Réglo Mobile, le cybercriminel se serait aussi emparé de la date de validation et d'une partie tronquée des numéros de cartes bancaires. En revanche, les mots de passe ne seraient pas concernés.
Très vite, Réglo Mobile a envoyé un SMS aux clients concernés afin de les alerter, les renvoyant à son communiqué officiel. L'opérateur low cost assure avoir "pris toutes les mesures nécessaires" pour sécuriser les données de sa clientèle et avoir refermé la faille ayant permis cette intrusion. La Commission nationale de l'informatique et des libertés (CNIL) a également été notifiée, comme il est de coutume dans cette situation, et une plainte a été déposée auprès des autorités. Enfin, un numéro vert a été mis en place : 0 805 168 000, disponible du lundi au samedi, de 8 heures à 21 heures.
Piratage Réglo Mobile : quels sont les risques pour les clients ?
La nature des informations dérobées fait craindre le pire. Il est à craindre des campagnes de phishing personnalisées dans les semaines à venir. En effet, quand ils mettent la main sur des bases de données, les escrocs utilisent des informations personnelles pour adapter leurs pièges et rendre leurs messages plus crédibles, y compris en se faisant passer pour votre opérateur – ici, Réglo Mobile en l'occurrence. Les cybercriminels peuvent également croiser les données dérobées avec celles émanant d'autres fuites, afin d'usurper l'identité des victimes.
Il faut également craindre des attaques contre les cartes SIM des abonnés. En exploitant les différentes données, notamment le code PUK, les pirates pourraient tenter de prendre le contrôle d'un numéro de téléphone (voir notre article).
Les données bancaires dérobées sont également très problématiques. Car si l'IBAN seul ne permet pas de vider un compte, il peut, couplé à d'autres informations sensibles, permettre de réaliser des mandats SEPA, qui servent à régler de nombreuses dépenses courantes : factures d'électricité, de gaz ou d'eau, abonnements téléphoniques et Internet, plateformes de streaming, ou encore cotisations d'assurance et impôts. Or, leur mise en place ne s'accompagne pas toujours de contrôles d'identité stricts. Un cybercriminel qui dispose d'un IBAN associé à des données personnelles peut ainsi débiter un compte avec une relative facilité.
Si vous êtes un abonné de l'opérateur, redoublez de vigilance dans les prochaines semaines et comme toujours, ne répondez pas précipitamment aux e-mails, SMS, appels, et même courriers recommandés dont vous ne connaissez pas l'expéditeur ou qui vous paraissent suspects. Prenez le temps de vérifier l'identité de l'interlocuteur avant de faire quoi que ce soit ! L'opérateur rappelle qu'il ne contacte jamais ses clients par mail, par SMS ou par téléphone pour "demander de communiquer de quelque manière que ce soit vos codes personnels, identifiants ou coordonnées bancaires".
Surveillez également très attentivement vos mouvements bancaires et les opérations par prélèvement débité sur votre compte, ainsi que la liste des créanciers autorisés ou interdits sur votre espace client. Enfin, en cas de fraude, veillez à contester sans délai l'opération.