Début juillet 2022, le site internet de La Poste Mobile était contraint de fermer temporairement ses portes suite à un piratage. Un communiqué a ainsi remplacé pendant plusieurs jours la page d’accueil du site. On apprenait alors que l’opérateur virtuel avait été victime d’un “rançongiciel”.
Le message indiquait alors déjà qu’il y avait un risque de fuite de données clients et donnait une adresse de contact pour consulter les données personnelles pouvant avoir été dérobées : “il est possible que des fichiers présents dans des ordinateurs de salariés de La Poste Mobile aient été affectés. Certains d’entre eux pourraient contenir des données à caractère personnel”.
C’est confirmé : les données clients de La Poste Mobile ont fuité suite au piratage de l’opérateur
Nos confrères de Zataz rapportent que malheureusement les craintes de l’opérateur étaient bel et bien fondées. Un fichier de 64 Mo compressé contenant les données personnelles de 533 000 clients (dont leur numéro de compte, adresse mail, sexe, identité, numéro de téléphone, adresse postale…) circule en ce moment sur le net.
Zataz en profite pour donner des informations supplémentaires sur les pirates à l’origine de ce vol de données. Le piratage serait le fait du groupe LockBit à l’origine d’un redoutable ransomware du même nom. LockBit cible de grandes entreprises comme La Poste Mobile. Le mode opératoire des pirates fonctionne comme suit :
D’abord, les pirates cherchent à perturber lourdement les opérations de leur cible – le site La Poste Mobile est ainsi resté fermé / affichait une page statique pendant 10 jours après le piratage. Ensuite, le groupe a tenté d’extorquer des fonds à l’opérateur.
Comme La Poste Mobile semble avoir refusé de verser la moindre rançon aux pirates, ces derniers ont ensuite publié toutes les données clients qu’ils sont parvenus à dérober. Comme l’indiquait déjà La Poste Mobile dans son communiqué, les clients de l’opérateur sont appelés à la plus grande vigilance.
Lire aussi – Cyberattaque La Poste Mobile – la situation s’aggrave, le site ferme
A cause du caractère personnel des données qui circulent sur le web, les clients risquent d’être visés par des tentatives de phishing, et usurpations d’identité. Les clients qui le souhaitent peuvent contacter directement La Poste Mobile par téléphone (0 970 808 660) et par mail (mesdonneespersonnelles@lapostemobile.fr) pour “toute information supplémentaire concernant les données à caractère personnel en lien avec cet événement”.
Suite à la publication de notre article le 5 septembre 2022, La Poste Mobile nous a transmis les précisions suivantes :
“L’information concernant la divulgation de données de clients n’est malheureusement pas nouvelle pour La Poste Mobile. Elle est relative à la cyberattaque dont l’entreprise a été victime le 4 juillet dernier. L’analyse des données étant actuellement en cours, nous ne pouvons confirmer le nombre de clients concernés. Dès le 6 juillet, La Poste Mobile a informé la CNIL. Dès le 8 juillet, La Poste Mobile a communiqué sur le sujet et informé par prudence ses clients que certaines données personnelles ont pu être divulguées.
La Poste Mobile rappelle un point important : aucun numéro de carte bancaire, ni aucune pièce d’identité n’ont été divulguées. En revanche, des données variées telles que des noms, des prénoms, des adresses postales et électroniques, numéros de téléphone, IBAN ont, dans certains cas, été exposées. La Poste Mobile a également rappelé à ses clients qu’aucune personne morale ou physique n’a le droit d’utiliser un IBAN pour réaliser un prélèvement sans un consentement expressément formalisé. La réglementation bancaire prévoit dans ce cadre un délai très protecteur de treize mois suivant la date de débit pour contester un prélèvement frauduleux sans signature du titulaire.
Enfin, La Poste Mobile a recommandé à ses clients de prendre les mesures de sécurité suivantes :
- Ne pas utiliser le même mot de passe pour plusieurs sites internet ou services en ligne
- Ne jamais communiquer d’informations bancaires confidentielles tels que code secret et identifiants d’accès par courrier, email ou téléphone
Pour rappel, La Poste Mobile a immédiatement porté plainte pour vol de données auprès du centre de lutte contre les criminalités numériques de la gendarmerie nationale (C3N).”
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
