Décidément, l’année se termine mal pour SFR. Hier, plusieurs abonnés ont reçu un courriel de leur opérateur les informant d’un nouvel incident de sécurité. Cette fois-ci, il s'agirait d'un accès non autorisé à un outil informatique interne, ayant potentiellement permis à des hackers de consulter des données personnelles de clients.
Un accès non autorisé à un outil interne
Dans son message, SFR évoque un accès non autorisé ayant récemment affecté un outil informatique utilisé par l’opérateur. Il s’agit plus précisément d’un système servant à la gestion des interventions de raccordement sur le réseau fixe. Si aucun détail technique n’a été communiqué sur la nature de l’attaque ou sur son origine, l’opérateur reconnaît qu’une consultation de données a pu avoir lieu.
Les informations concernées incluent notamment le nom, le prénom, l’adresse postale, l’adresse e-mail, le numéro de téléphone ainsi que la référence client des abonnés impactés. Autrement dit, un ensemble de données sensibles pouvant faciliter des tentatives d’hameçonnage ou d’usurpation d’identité.
Si comme moi, vous avez la joie de recevoir ce mail...
particulièrement sensible pour l’opérateur
Cette annonce ravive de mauvais souvenirs pour les clients de SFR. En septembre 2024, l’opérateur, filiale du groupe Altice, avait déjà été touché par une cyberattaque majeure, ayant conduit à la fuite de données personnelles, mais aussi d’IBAN.
Si un IBAN seul ne permet pas de vider un compte, son association avec d’autres informations personnelles peut représenter un risque réel pour les consommateurs. Cette fois, SFR se veut rassurant : aucune donnée bancaire n’a été compromise lors de ce nouvel incident. Un point crucial, compte tenu des précédents.
Mesures immédiates et notification des autorités
Selon l’opérateur, l’accès non autorisé a été rapidement bloqué, et des mesures correctives ont été mises en œuvre afin de renforcer la sécurité des systèmes concernés. SFR affirme avoir agi sans délai pour contenir l’incident et limiter son impact.
Conformément à la réglementation en vigueur, SFR a notifié la CNIL, l’autorité française de protection des données personnelles, et a également déposé plainte auprès du procureur de la République.
Qu'en penser ?
Même en l’absence de données bancaires compromises, ce type de fuite n’est jamais anodin. Les clients concernés sont invités à faire preuve de vigilance accrue, notamment face aux e-mails, SMS ou appels suspects se faisant passer pour SFR ou d’autres services officiels. Ce nouvel épisode souligne, une fois encore, la fragilité des infrastructures numériques face aux cyberattaques — et l’importance pour les opérateurs télécoms, en première ligne, de renforcer durablement leurs dispositifs de sécurité.
