Responsable Group Security
«Cela ne se reproduira plus.»
Des inconnus ont subtilisé des données personnelles de clients Swisscom considérées comme «n’étant pas particulièrement sensibles» selon la loi sur la protection des données. Philippe Vuilleumier, responsable Group Security, revient sur l’incident, présente les mesures prises pour éviter le vol d’informations critiques et explique comment il compte désormais mieux protéger toutes les données.
Roger Baur, 7 février 2018
Des inconnus ont subtilisé les données Swisscom d’environ 800 000 clients. Que s’est-il exactement passé?
Un inconnu est parvenu à subtiliser les droits d’accès d’un partenaire de distribution afin de collecter des données clients. Nous parlons ici du nom, de l’adresse, du numéro de téléphone et de la date de naissance des clients, qui sont nécessaires pour pouvoir les identifier. D’après la loi sur la protection des données, ces informations sont des données personnelles considérées comme «n’étant pas particulièrement sensibles», car elles sont en grande partie accessibles publiquement ou figurent dans les annuaires.
Etait-ce une attaque de hackeurs?
Non, le Login et le mot de passe n’ont pas été piratés, ils ont été subtilisés en septembre dernier à un partenaire de distribution afin de pouvoir accéder discrètement aux données.
Mais pourquoi au juste les partenaires de distribution ont-ils accès à ces données?
Les partenaires de distribution vendent nos produits et ont besoin de ces informations pour conseiller nos clients, modifier leurs données et conclure de nouveaux contrats.
Les données critiques comme les informations de paiement n’étaient pas concernées?
Non, les donnes sensibles, comme les mots de passe ou numéros de carte de crédit, bénéficient depuis longtemps d’une protection renforcée. Il est impossible d’y accéder. Les informations subtilisées étaient des données non critiques, que l’on retrouve très souvent dans les annuaires ou sur les réseaux sociaux. Pour autant, l’incident est tout à fait regrettable. Nous devons reconnaître après coup que nos mesures techniques de sécurité n’ont pas suffi à empêcher les personnes malintentionnées d’accéder à de telles données.
«Non, nous n’avons pour l’instant aucune information sur les coupables. Nous coopérons étroitement avec le partenaire de distribution concerné et étudions toutes les mesures légales possibles.»
Sait-on ce qu’il est advenu des données copiées et qui se cache derrière tout cela?
Non, nous n’avons pour l’instant aucune information sur les coupables. Nos enquêtes et analyses ont montré qu’ils utilisaient une adresse IP française. Nous coopérons étroitement avec le partenaire de distribution concerné et étudions toutes les mesures légales possibles. Le Préposé fédéral à la protection des données et à la transparence a lui aussi été informé. Nous estimons toutefois que les données n’ont pas été exploitées, car nous n’avons constaté à ce jour aucune activité inhabituelle sur les raccordements impactés. Les clients n’ont donc subi aucun préjudice.
Comment les clients peuvent-ils savoir s’ils sont concernés et comment peuvent-ils se protéger?
Chaque client peut envoyer un SMS avec le mot-clé «Info» au numéro gratuit 444 pour savoir si ses données faisaient partie des informations volées. Les clients réseau fixe et commerciaux ont été informés par e-mail et par courrier. Nous conseillons à nos clients concernés d’utiliser le Callfilter gratuit afin de bloquer les appels publicitaires indésirables. C’est en effet l’usage le plus dommageable qui pourrait être fait de telles données – le démarchage téléphonique.
Qu’est-ce que cet incident a alors de dramatique pour Swisscom?
Ces données sont le plus souvent accessibles publiquement dans les annuaires ou communiquées librement sur les réseaux sociaux ou dans les concours. Elles sont donc en grande partie disponibles pour les revendeurs d’adresses. Malgré cela, une telle chose ne devrait pas se produire chez Swisscom. Nous regrettons vivement l’incident, car cela n’est pas conforme aux exigences que nous nous imposons. Nous avons initié toutes les mesures pour ne plus avoir à subir un tel événement.
Et que fait-on pour que cela ne se reproduise plus?
Nous avons aussitôt renforcé drastiquement les mesures de sécurité internes afin qu’un tel incident ne se reproduise pas. Dorénavant, les données client critiques mais aussi celles considérées comme «n’étant pas particulièrement sensibles» sont mieux protégées: les accès par les sociétés partenaires sont surveillés de plus près et, en cas d’activités inhabituelles, une alarme se déclenche immédiatement. De plus, les consultations de grande ampleur ne sont plus possibles sur le plan technique. D’autres mesures seront mises en place dans le courant de l’année.
Cette fois-ci, aucune donnée sensible n’a été subtilisée. Mais qu’en est-il de la sécurité des informations vraiment critiques, que fait Swisscom sur ce point?
Nous investissons beaucoup d’argent dans notre sécurité afin de l’améliorer en permanence. Qu’il s’agisse de notre propre «Red Team», à savoir des hackeurs internes. Ou encore de notre «Bug Bounty Program» très performant. Ici, nous invitons des spécialistes externes de la sécurité à venir tester nos systèmes sous toutes les coutures pour identifier les failles inconnues. Et dans ce cadre, nous accordons une prime, appelée «Bounty». Nous sommes la première entreprise à avoir lancé un tel programme en Suisse. Cela nous permet de prendre la mesure des futurs types d’attaque à attendre. Car il ne faut pas être naïf, ces attaques sont bien plus nombreuses que l’on pense: 3.6 millions par mois – plus d’une attaque chaque seconde.
Et la tendance est-elle à la hausse?
C’est évident! Le milieu de la criminalité organisée a compris depuis un certain déjà qu’il était très facile, rapide et presque sans aucun risque de gagner de l’argent en ligne. Tout cela sans se salir les mains. C’est pourquoi nous déployons de gros efforts pour toujours mieux protéger nos clients, en collaboration avec les autorités, les partenaires et notre propre clientèle. Mais aussi avec les nouveaux produits que nous lançons. A partir du printemps, nous allons proposer l’«Internet Guard», un filtre de sécurité gratuit qui alertera avant d’accéder à des sites web dangereux.
Portrait
En sa qualité de Chief Security Officer au niveau de la direction du groupe, Philippe Vuillemier est en charge depuis 2015 de toutes les questions de sécurité chez Swisscom.