Violation de données personnelles de l’opérateur Bouygues Telecom : situation, risques et recommandations

L’opérateur de télécommunications Bouygues Telecom a été victime d’une attaque informatique qui a conduit à la violation de données à caractère personnel de certains de ses clients Grand Public dont une partie détenant un numéro SIREN. Il est à noter que les clients de la division Entreprises de Bouygues Telecom (Business et Pro) ne sont pas concernés.

Cette violation concerne notamment les données suivantes :
– Données d’état civil : nom, prénom, date et département de naissance, civilité (pour les professionnels, ce sont celles du représentant légal de l’entreprise) ;
– Pour les professionnels, données de l’entreprise : raison sociale, numéro SIREN ;
– Coordonnées : numéro de téléphone mobile Bouygues Telecom, adresse mail, adresse postale ;
– Données contractuelles : type d’offre souscrite, date de souscription, abonnement actif ou non, mode de prélèvement ;
– Données bancaires : BIC et IBAN.
Les mots de passe des comptes Bouygues Telecom et les coordonnées de cartes bancaires ne sont pas concernés.

Comme le prévoit notamment le règlement général sur la protection des données (RGPD), Bouygues Telecom doit informer individuellement l’ensemble des personnes concernées par cette violation de données personnelles. Bouygues Telecom a également déposé plainte et signalé l’incident à la CNIL (Commission Nationale de l’Informatique et des Libertés).

Une enquête préliminaire diligentée sur les instructions de la section J3 du Parquet de Paris est ouverte à la Brigade de Lutte Contre la Cybercriminalité (BL2C) de la Direction de la Police Judiciaire de la Préfecture de Police de Paris pour les infractions d’atteintes à des systèmes de traitement automatisé de données.

Pour l’information de ses clients, l’opérateur Bouygues Telecom a mis en place une page Internet dédiée et un numéro vert (gratuit) : 0 801 239 901.

Risques et recommandations

Les conséquences potentielles de cet incident concernent principalement les différentes formes d’hameçonnage (phishing) et de tentatives d’escroqueries, et, plus marginalement, des tentatives d’usurpation d’identité, de détournement de ligne téléphonique mobile ou de prélèvements bancaires non autorisés dont pourraient être victimes les personnes concernées.

Cybermalveillance.gouv.fr recommande aux personnes concernées : 

– d’être particulièrement méfiant face à tout appel téléphonique ou message (mail, SMS, messageries instantanées, réseaux sociaux…) de personnes ou d’organismes dont on a usurpé l’identité qui prétendraient vous connaître à partir des informations dérobées* et vous contacteraient dans le but de vous soutirer des informations confidentielles (codes, mots de passe, numéros de carte bancaire, copies de documents d’identité…) ou vous faire valider des opérations bancaires (faux conseiller bancaire ou opérateur télécom…). Authentifiez toujours votre interlocuteur en contactant le service client à son numéro officiel, en consultant les informations disponibles dans votre espace personnel en ligne du service concerné, en vérifiant les adresses mails et les liens contenus dans les messages, etc. ;
* Par exemple, un mail frauduleux contenant vos nom, prénom, adresse postale et IBAN qui vous annoncerait un supposé paiement que vous auriez effectué afin de vous amener à communiquer d’autres informations sensibles. Prenez toujours le temps de vérifier les informations par vous-même, surtout quand on vous incite à réagir rapidement !

– de surveiller régulièrement le compte bancaire dont vous auriez été informé que l’IBAN a été dérobé et de demander à votre banque le remboursement de toute opération dont vous ne seriez pas l’auteur (ex : prélèvement que vous n’auriez pas dûment autorisé…), ainsi que la suppression de l’autorisation de prélèvement concernée le cas échéant, en invoquant l‘article L133-24 du Code monétaire et financier. Vous pouvez également informer votre banque de la divulgation de votre IBAN afin qu’elle mette le compte concerné sous vigilance renforcée ;

– d’alerter immédiatement votre opérateur de télécommunications en cas de perte prolongée de connexion de votre ligne téléphonique mobile, pour vous assurer que vous n’avez pas été victime d’un échange frauduleux de votre carte SIM (appelé également SIM swapping en anglais). Ce risque est peu probable mais, si votre opérateur vous le confirme, faites-lui vous réattribuer votre ligne sans délai, car elle pourrait être utilisée pour récupérer vos communications, et surtout les codes de sécurité à usage unique utilisés pour la validation de certaines opérations sensibles (bancaires par exemple) ;

– de déposer plainte en cas d’utilisation frauduleuse de vos données personnelles divulguées. Conservez toutes les preuves (messages, adresse du site web, captures d’écran…) et déposez plainte au commissariat de police ou à la brigade de gendarmerie dont vous dépendez ;

– de déposer plainte auprès de la CNIL si vous estimez que vos données personnelles n’ont pas été suffisamment protégées ;

– d’engager au besoin une action de groupe ou un recours collectif qui permet aux victimes, représentées par une association de protection de la vie privée et des données personnelles ou une association de défense des consommateurs agréée au niveau national, de saisir la justice pour demander la cessation de la violation de données personnelles et la réparation du préjudice.

Pour plus d’information, vous pouvez également consulter notre article dédié aux violations ou fuites de données personnelles, ainsi que le communiqué et les conseils de la CNIL.