Swisscom Vol de données: suis-je concerné?

Swisscom

11.2.2018

Swisscom renforce les mesures de sécurité pour les données considérées comme n’étant pas particulièrement sensibles.
Swisscom renforce les mesures de sécurité pour les données considérées comme n’étant pas particulièrement sensibles.
Bluewin

Swisscom renforce les mesures de sécurité pour les données considérées comme n’étant pas particulièrement sensibles. Cela fait suite à l’utilisation abusive des droits d’accès subtilisés à un partenaire de distribution. Swisscom n’a constaté aucune activité portant atteinte à ses clients.

A l’automne 2017, des inconnus ont subtilisé les droits d’accès d’un partenaire de distribution afin d’accéder de façon abusive au nom, à l’adresse, au numéro de téléphone et à la date de naissance de clients. D’après la loi sur la protection des données, ces données sont considérées comme «n’étant pas particulièrement sensibles». En raison de cet incident, Swisscom a décidé de renforcer ses mesures de sécurité pour ce type d’informations. L’abus concernait le prénom et le nom, l’adresse privée, la date de naissance et le numéro de téléphone des clients Swisscom. Il s’agit en grande partie de coordonnées accessibles publiquement ou figurant dans les annuaires.

Swisscom collecte ces données clients conformément à la loi: elles sont nécessaires pour la souscription d’un abonnement. Les partenaires de distribution disposent d’un accès limité à ces informations pour identifier le client, le conseiller et pouvoir conclure ou modifier des contrats client. Pour ce faire, ils doivent accéder au système sécurisé au moyen d’identifiants et mots de passe spécifiques. L’incident portait sur les coordonnées d’environ 800'000 clients Swisscom – principalement des clients mobiles mais aussi quelques clients fixes. Swisscom a constaté le problème dans le cadre d’un contrôle de routine sur ses activités d’exploitation et a déclenché aussitôt un examen interne complet.

Swisscom souligne que le système n’a pas été piraté et qu’aucune donnée sensible (mots de passe, données de communication et de paiement) n’a été touchée. Pour ce type d’informations, des mécanismes de protection très stricts sont en place depuis longtemps déjà.

Contrôle d’accès renforcé aussi pour les données client, blocage des consultations de grande ampleur

Bien que les informations utilisées se résument à des données personnelles considérées comme «n’étant pas particulièrement sensibles» d’après la loi sur la protection des données, la clarification de cet incident revêt une importance cruciale pour Swisscom. En guise de mesure immédiate, les accès de la société partenaire concernée ont été bloqués immédiatement. De plus, Swisscom a procédé à divers changements internes afin de mieux protéger l’accès à de telles données personnelles n’étant pas particulièrement sensibles par des sociétés tierces. Cela passe notamment par les mesures suivantes:

-       Les accès par des entreprises partenaires sont désormais surveillés de plus près et, en cas d’activités inhabituelles, une alarme se déclenche automatiquement et les accès sont bloqués.

-       Les consultations d’importants volumes de données client seront dorénavant impossibles sur le plan technique.

-       De plus, en 2018, une authentification à double facteur est mise en place pour tous les accès aux données requis par les partenaires de distribution.

Ces premières mesures mises en œuvre garantissent qu’un tel incident ne puisse se reproduire. Swisscom a informé le Préposé fédéral à la protection des données et à la transparence (PFPDT) à propos de l’incident. Par ailleurs, Swisscom examine tous les recours juridiques possibles et se réserve le droit d’engager des poursuites, comme l'a expliqué Philippe Vuilleumier, responsable Group Security, dans une interview.

Comment les clients peuvent s’informer et se protéger

Swisscom n’a constaté à ce jour aucune recrudescence des appels publicitaires, ni aucune autre activité portant atteinte aux clients. Rien ne montre que les clients aient subi un préjudice. Pour des raisons de transparence, Swisscom souhaite informer les clients au sujet de l’utilisation abusive des droits d’accès du partenaire de distribution ainsi que des possibilités pour se protéger contre d’éventuels futurs abus du même type. Swisscom propose l’assistance suivante en la matière:

-       Les clients mobiles peuvent envoyer un SMS avec le mot-clé «Info» au numéro 444 pour savoir si leur nom, leur numéro de téléphone, leur adresse ou leur date de naissance est concerné.

Les clients mobiles peuvent envoyer un SMS avec le mot-clé «Info» au numéro 444 pour savoir si leur nom, leur numéro de téléphone, leur adresse ou leur date de naissance est concerné.
Les clients mobiles peuvent envoyer un SMS avec le mot-clé «Info» au numéro 444 pour savoir si leur nom, leur numéro de téléphone, leur adresse ou leur date de naissance est concerné.
Bluewin

-       De façon générale, Swisscom appelle tous les clients à redoubler de vigilance en cas de prises de contact inhabituelles ou de démarchage téléphonique, et les invite à activer le filtre d’appel pour les raccordements fixes et mobiles afin de se protéger des appels publicitaires indésirables.

-       Bien évidemment, les clients peuvent signaler à Swisscom toute situation particulière, comme des appels inconnus à répétition.

Remarque: Bluewin est une marque de Swisscom AG (Suisse). L'équipe éditoriale de Bluewin publie régulièrement des informations sur les nouveaux produits et services Swisscom.

Retour à la page d'accueil