Swisscom renforce les mesures de sécurité pour les données considérées comme n’étant pas particulièrement sensibles. Cela fait suite à l’utilisation abusive des droits d’accès subtilisés à un partenaire de distribution. Swisscom n’a constaté aucune activité portant atteinte à ses clients.
A l’automne 2017, des inconnus ont subtilisé les droits d’accès d’un partenaire de distribution afin d’accéder de façon abusive au nom, à l’adresse, au numéro de téléphone et à la date de naissance de clients. D’après la loi sur la protection des données, ces données sont considérées comme «n’étant pas particulièrement sensibles». En raison de cet incident, Swisscom a décidé de renforcer ses mesures de sécurité pour ce type d’informations. L’abus concernait le prénom et le nom, l’adresse privée, la date de naissance et le numéro de téléphone des clients Swisscom. Il s’agit en grande partie de coordonnées accessibles publiquement ou figurant dans les annuaires.
Swisscom collecte ces données clients conformément à la loi: elles sont nécessaires pour la souscription d’un abonnement. Les partenaires de distribution disposent d’un accès limité à ces informations pour identifier le client, le conseiller et pouvoir conclure ou modifier des contrats client. Pour ce faire, ils doivent accéder au système sécurisé au moyen d’identifiants et mots de passe spécifiques. L’incident portait sur les coordonnées d’environ 800 000 clients Swisscom – principalement des clients mobiles mais aussi quelques clients fixes. Swisscom a constaté le problème dans le cadre d’un contrôle de routine sur ses activités d’exploitation et a déclenché aussitôt un examen interne complet.
Swisscom souligne que le système n’a pas été piraté et qu’aucune donnée sensible (mots de passe, données de communication et de paiement) n’a été touchée. Pour ce type d’informations, des mécanismes de protection très stricts sont en place depuis longtemps déjà.
Bien que les informations utilisées se résument à des données personnelles considérées comme «n’étant pas particulièrement sensibles» d’après la loi sur la protection des données, la clarification de cet incident revêt une importance cruciale pour Swisscom. En guise de mesure immédiate, les accès de la société partenaire concernée ont été bloqués immédiatement. De plus, Swisscom a procédé à divers changements internes afin de mieux protéger l’accès à de telles données personnelles n’étant pas particulièrement sensibles par des sociétés tierces. Cela passe notamment par les mesures suivantes:
Ces premières mesures mises en œuvre garantissent qu’un tel incident ne puisse se reproduire. Swisscom a informé le Préposé fédéral à la protection des données et à la transparence (PFPDT) à propos de l’incident. Par ailleurs, Swisscom examine tous les recours juridiques possibles et se réserve le droit d’engager des poursuites.
Swisscom n’a constaté à ce jour aucune recrudescence des appels publicitaires, ni aucune autre activité portant atteinte aux clients. Rien ne montre que les clients aient subi un préjudice. Pour des raisons de transparence, Swisscom souhaite informer les clients au sujet de l’utilisation abusive des droits d’accès du partenaire de distribution ainsi que des possibilités pour se protéger contre d’éventuels futurs abus du même type. Swisscom propose l’assistance suivante en la matière:
Bien évidemment, les clients peuvent signaler à Swisscom toute situation particulière, comme des appels inconnus à répétition.
Interview avec Philippe Vuilleumier, Head of Group Security – consultable à partir de 10h00.