Free, SFR, Orange, Bouygues : les opérateurs télécoms français sous le feu des cyberattaques
Analyse complète des cyberattaques contre les opérateurs télécoms français : Free (19,2M clients), SFR, Orange, Bouygues, La Poste Mobile. Chronologie, données volées, IBAN, SIM swapping et protection.
Le 28 octobre 2024, un pirate publie sur BreachForums un échantillon de données provenant de Free Mobile. Il affirme détenir les informations personnelles de 19,2 millions de clients et les IBAN de 5 millions d'abonnés Freebox. L'enchère démarre à 10 000 dollars. Quelques jours plus tard, il annonce que le lot a été vendu pour 160 000 euros.
Trois semaines avant, c'est SFR qui confirmait une fuite touchant 3,6 millions de clients, IBAN compris. Quelques mois avant encore, Altice (maison mère de SFR) avait vu 1,4 million de dossiers exfiltrés. La Poste Mobile, paralysée par le ransomware LockBit en 2022, avait vu les données de ses clients publiées sur le dark web. Orange, dix ans plus tôt, avait subi deux compromissions en trois mois. Bouygues Telecom n'a pas été épargné.
En dix ans, les quatre grands opérateurs télécoms français ont tous été touchés. Aucun n'a été épargné. Et la tendance s'accélère : l'année 2024 a été, de loin, la pire.
Cet article reconstitue la chronologie complète de chaque incident, analyse les vecteurs d'attaque, explique pourquoi les opérateurs télécoms sont des cibles de premier choix, et détaille les conséquences concrètes pour les millions de Français dont les données ont été compromises. Toutes les données citées proviennent de sources vérifiables : CNIL, ANSSI, Cybermalveillance.gouv.fr, rapports d'entreprise et documents judiciaires.
Pour le contexte global des fuites de données en France, consultez notre recensement des 50 plus grandes fuites de données françaises.
Pourquoi les opérateurs télécoms sont des cibles de premier choix
Avant de plonger dans la chronologie des incidents, il faut comprendre ce qui rend les opérateurs télécoms si attractifs pour les attaquants. La réponse tient en trois mots : volume, qualité, monétisation.
Le volume de données
Un opérateur télécom comme Free, SFR ou Orange gère des dizaines de millions de comptes clients. Free revendiquait 23,06 millions d'abonnés mobiles et fixes à fin septembre 2024 (rapport ARCEP T3 2024). SFR en comptait 23,4 millions. Orange, 46,2 millions en France. Bouygues Telecom, 15,5 millions. Un seul accès compromis à un outil de gestion interne peut exposer la quasi-totalité de ces bases.
Comparez avec une fuite dans une enseigne de retail ou un hôpital : les volumes sont sans commune mesure. Quand un pirate compromet un opérateur télécom, il obtient un « méga-lot » de données qu'il peut vendre en bloc ou découper en sous-ensembles sur les marchés cybercriminels.
La qualité des données
Les données détenues par un opérateur télécom ne se limitent pas à un email et un mot de passe. Elles comprennent :
- L'identité civile complète : nom, prénom, date de naissance, adresse postale. En France, les opérateurs sont tenus de vérifier l'identité de leurs clients depuis la loi anti-terrorisme de 2006.
- Les coordonnées de contact : email, numéro de téléphone mobile.
- Les données contractuelles : type d'abonnement, numéro de client, date de souscription, durée d'engagement.
- Les données bancaires : IBAN pour les prélèvements, et parfois les quatre derniers chiffres de la carte bancaire.
- Les identifiants techniques : numéros IMSI (identifiant de la carte SIM sur le réseau), adresses IP, historique de connexion.
Ce cocktail de données fait des bases clients télécom une matière première de choix pour trois types de fraude : l'usurpation d'identité, la fraude bancaire par prélèvement SEPA, et le SIM swapping.
La monétisation sur le dark web
Selon un rapport Kaspersky de 2024, un dossier client télécom complet (identité + IBAN + numéro de mobile) se négocie entre 30 et 50 euros pièce sur les marchés du dark web. Pour un lot de 5 millions de dossiers avec IBAN - exactement ce qu'a obtenu le pirate de Free - le prix de gros oscillait entre 75 000 et 160 000 euros. Ce n'est pas un hasard si l'enchère s'est conclue à 160 000 euros.
Pour mettre ces chiffres en perspective : un dossier médical complet se vend entre 150 et 250 euros (Ponemon Institute, 2023), mais les volumes disponibles par incident sont beaucoup plus faibles. Le ratio volume/prix des données télécoms les rend particulièrement rentables pour les revendeurs.
Free Mobile (octobre 2024) : 19,2 millions de clients, 5 millions d'IBAN
C'est le plus gros piratage d'un opérateur télécom en France. Et l'un des plus graves de toute l'histoire des fuites de données dans le pays, après France Travail (43 millions) et Viamedis-Almerys (33 millions). Pour le détail de l'attaque France Travail, consultez notre analyse complète du piratage de France Travail.
Chronologie
21 octobre 2024 - Un utilisateur du forum cybercriminel BreachForums, utilisant le pseudonyme « drussellx », publie un message affirmant détenir les données de 19,2 millions de clients Free. Il met en ligne un échantillon de 100 000 lignes pour prouver l'authenticité des données.
25 octobre 2024 - Free confirme avoir été victime d'une cyberattaque ciblant un « outil de gestion » interne. L'opérateur dépose une plainte pénale et notifie la CNIL.
28 octobre 2024 - Le pirate met les données aux enchères sur BreachForums. Le prix de départ est fixé à 10 000 dollars. Il révèle que le lot comprend les IBAN de 5 millions d'abonnés Freebox.
29 octobre 2024 - Free commence à envoyer des notifications individuelles aux clients concernés, comme l'exige le RGPD. Deux vagues de notifications sont envoyées : une première pour les clients dont seules les données personnelles sont compromises, une seconde pour ceux dont les IBAN sont également touchés.
31 octobre 2024 - Le pirate annonce que les données ont été vendues pour 160 000 euros à un acheteur unique.
Novembre-décembre 2024 - Les premières vagues de prélèvements SEPA frauduleux commencent à frapper les comptes bancaires des victimes. Des centaines de signalements affluent sur les réseaux sociaux et les forums de consommateurs.
Données compromises
| Type de donnée | Nombre de personnes touchées |
|---|---|
| Nom, prénom, date de naissance | 19,2 millions |
| Adresse email | 19,2 millions |
| Adresse postale | 19,2 millions |
| Numéro de téléphone | 19,2 millions |
| Détails de l'abonnement (offre, date de souscription) | 19,2 millions |
| IBAN | 5 millions (abonnés Freebox) |
Le vecteur d'attaque
Free n'a jamais communiqué officiellement sur le vecteur d'attaque précis. Cependant, d'après les informations publiées par le pirate et les analyses de plusieurs chercheurs en sécurité, l'accès a été obtenu via un compte compromis donnant accès à un outil interne de gestion client. Ce type d'outil (souvent un portail web CRM utilisé par les agents du service client ou les conseillers en boutique) est un point de vulnérabilité classique chez les opérateurs.
La question que personne n'a posée publiquement : pourquoi un seul compte avait-il accès à l'intégralité des 19,2 millions de dossiers ? La segmentation des accès et le principe du moindre privilège auraient dû limiter les dégâts à quelques milliers de fiches au maximum. L'absence de détection pendant plusieurs jours d'exfiltration massive est un autre signal d'alarme.
Les conséquences : la vague de fraudes aux IBAN
La fuite des 5 millions d'IBAN a déclenché une vague de fraude d'une ampleur inédite en France. Pour comprendre le mécanisme, il faut savoir comment fonctionne le prélèvement SEPA.
Un prélèvement SEPA peut être initié par n'importe quel créancier disposant d'un mandat signé par le débiteur et de son IBAN. En pratique, la vérification du mandat est très lâche : de nombreuses néobanques et plateformes de paiement acceptent des mandats numériques avec un minimum de vérification. Un escroc qui dispose de votre IBAN, de votre nom et de votre adresse peut créer un faux mandat SEPA et commencer à prélever des sommes sur votre compte.
C'est exactement ce qui s'est produit à partir de novembre 2024. Les signalements de prélèvements non autorisés se sont multipliés. Des montants de 49,99 euros, 29,90 euros ou 19,99 euros - suffisamment faibles pour ne pas déclencher d'alerte automatique, suffisamment élevés pour être rentables à grande échelle - apparaissaient sur les relevés bancaires de milliers de victimes.
La Banque de France a rappelé que les victimes disposaient d'un délai de 13 mois pour contester un prélèvement SEPA non autorisé (article L133-24 du Code monétaire et financier), avec remboursement obligatoire sous un jour ouvré. Mais combien de personnes vérifient chaque ligne de leur relevé bancaire ?
Cybermalveillance.gouv.fr a publié un guide spécifique sur les risques liés aux IBAN volés en novembre 2024, recommandant aux victimes de :
- Contacter immédiatement leur banque
- Mettre en place une liste blanche de créanciers autorisés
- Surveiller quotidiennement les mouvements sur leur compte
- Signaler tout prélèvement suspect
SFR : une série noire en 2023-2024
SFR n'a pas subi une fuite. Il en a subi plusieurs, sur une période de moins de 18 mois. Cette accumulation pose des questions sur la maturité de la sécurité informatique du deuxième opérateur français.
La fuite Altice/SFR de 2023 - 1,4 million de dossiers
En août 2023, un pirate met en vente sur BreachForums un fichier contenant 1,4 million d'enregistrements présentés comme provenant de la base clients d'Altice France (maison mère de SFR). Les données comprennent noms, prénoms, adresses, emails, numéros de téléphone et détails contractuels.
Altice a d'abord minimisé l'incident avant de reconnaître qu'une partie des données étaient authentiques. L'entreprise traversait à l'époque une crise financière et managériale majeure (restructuration de la dette, départ de Patrick Drahi de la direction opérationnelle), ce qui n'a sans doute pas aidé à prioriser les investissements en cybersécurité.
La fuite SFR de septembre 2024 - 3,6 millions de clients
Le 3 septembre 2024, SFR notifie la CNIL d'une violation de données. L'attaque a ciblé un outil de gestion de commandes auquel l'attaquant a accédé via des identifiants compromis. Les données de 3,6 millions de clients sont exposées :
- Noms, prénoms, coordonnées
- Numéros de contrat
- Détails de l'offre souscrite
- Pour une partie des clients : IBAN et numéros IMSI
L'exposition des numéros IMSI est particulièrement préoccupante. Le numéro IMSI (International Mobile Subscriber Identity) identifie de manière unique une carte SIM sur le réseau. Il est utilisé dans les procédures d'authentification réseau. Combiné à d'autres données, il peut faciliter des attaques de SIM swapping avancées.
Le schéma qui se répète
Deux fuites chez SFR/Altice en moins de 18 mois, avec le même vecteur d'attaque (compromission d'un outil de gestion interne via des identifiants volés) et des données de même nature. Ce schéma répétitif suggère que les mesures correctives prises après la première fuite n'étaient pas suffisantes : soit le MFA n'a pas été déployé sur tous les outils d'administration, soit la segmentation des accès n'a pas été revue, soit la détection des comportements anormaux n'était pas en place.
La CNIL a ouvert une instruction sur les deux incidents. Au moment de la rédaction de cet article, aucune sanction n'a encore été prononcée.
Orange : le premier opérateur touché, dès 2014
Orange a été le premier opérateur français à subir une fuite de données de grande envergure. En 2014, alors que la conscience du risque cyber était encore embryonnaire en France, deux incidents en trois mois ont jeté une lumière crue sur la vulnérabilité des bases clients des opérateurs.
Janvier 2014 : 1,3 million de clients
Le 16 janvier 2014, Orange annonce avoir été victime d'une intrusion informatique ayant conduit au vol des données de 1,3 million de personnes - clients et prospects confondus. Les données compromises comprennent les noms, prénoms, adresses email, numéros de téléphone fixe et mobile, dates de naissance et le nom de l'opérateur mobile (pour les clients non-Orange).
Le vecteur d'attaque a été identifié comme une compromission de la plateforme technique d'un prestataire externe chargé de l'envoi d'emails commerciaux et de SMS pour le compte d'Orange. C'est l'un des premiers cas en France où une fuite de données d'un grand groupe provient d'un prestataire de la supply chain.
Avril 2014 : 800 000 clients supplémentaires
Trois mois plus tard, le 6 mai 2014, Orange annonce une nouvelle intrusion. Cette fois, 800 000 clients sont touchés. Les données sont similaires : noms, prénoms, adresses email, numéros de téléphone, dates de naissance. Orange précise que des données sur la composition du foyer familial et le nom de l'employeur figurent aussi parmi les informations compromises.
L'attaque a exploité une page web de l'espace Mon Compte d'Orange, dont une faille technique a permis l'accès non autorisé à un serveur contenant les données clients.
Deux incidents, deux vecteurs, un même résultat
Ce qui frappe dans les deux incidents Orange de 2014, c'est la diversité des vecteurs : le premier passe par un prestataire externe, le second par une vulnérabilité web directe. L'opérateur a dû reconnaître que sa surface d'attaque comportait des failles tant en interne que dans sa chaîne de sous-traitance.
À l'époque, la CNIL a infligé à Orange un avertissement public - la sanction la plus sévère à sa disposition pour ce type de manquement en 2014, avant le RGPD. Orange a été contraint de renforcer ses procédures de contrôle des prestataires et de mettre en place des audits de sécurité périodiques.
Il faut replacer ces incidents dans leur contexte : en 2014, le RGPD n'existait pas encore (il entrera en vigueur en 2018). La loi Informatique et Libertés imposait une obligation de sécurité (article 34), mais les sanctions étaient plafonnées à 150 000 euros. Aujourd'hui, les mêmes incidents exposeraient Orange à une amende de plusieurs dizaines de millions d'euros.
Bouygues Telecom (2023) : quand le maillon faible est un partenaire
En septembre 2023, un pirate met en vente sur un forum cybercriminel un fichier contenant les données de 200 000 clients Bouygues Telecom. Les données incluent les noms, prénoms, adresses email, numéros de téléphone et détails de l'abonnement.
La compromission d'un prestataire
Bouygues Telecom a confirmé l'incident et précisé que la fuite ne provenait pas de ses propres systèmes informatiques, mais de ceux d'un partenaire commercial ayant accès à une partie de la base clients pour des opérations de fidélisation et de marketing. Le prestataire avait été victime d'une compromission de ses propres systèmes, permettant à l'attaquant d'exfiltrer les données clients auxquelles il avait légitimement accès.
Le problème structurel de la supply chain
Le cas Bouygues illustre un problème que l'on retrouve dans la majorité des fuites du secteur télécom : la dépendance aux prestataires. Un opérateur comme Bouygues Telecom travaille avec des dizaines de partenaires commerciaux, techniques et logistiques qui ont accès, à des degrés divers, aux données clients :
- Les agences de marketing et de fidélisation
- Les prestataires de service client (centres d'appel externalisés)
- Les distributeurs et revendeurs (boutiques partenaires)
- Les sous-traitants techniques (maintenance réseau, facturation)
- Les plateformes de livraison et de logistique
Chacun de ces maillons est un point d'entrée potentiel. Et la sécurité de la chaîne est celle de son maillon le plus faible. L'ANSSI estime dans son Panorama de la cybermenace 2024 que les attaques via la supply chain ont augmenté de 30 % en un an et représentent désormais un vecteur de compromission majeur pour les grandes entreprises françaises.
Pour les PME qui travaillent avec ces prestataires ou qui sont elles-mêmes sous-traitantes d'un opérateur, le risque est double : elles peuvent être victimes collatérales d'une fuite, mais aussi vecteur involontaire d'une compromission. Auditer la sécurité email de vos partenaires est un premier geste concret de contrôle de la supply chain.
La Poste Mobile : ransomware, données publiées, SIM swapping
La Poste Mobile, opérateur mobile virtuel (MVNO) utilisant le réseau SFR et comptant environ 2 millions d'abonnés, a subi deux types d'attaques distincts entre 2022 et 2023.
Juillet 2022 : l'attaque LockBit
Le 4 juillet 2022, le groupe de ransomware LockBit 3.0 revendique une attaque contre La Poste Mobile. Le site web de l'opérateur est mis hors service. Les systèmes informatiques sont chiffrés. LockBit publie un ultimatum : paiement d'une rançon sous 10 jours, faute de quoi les données volées seront publiées.
La Poste Mobile confirme l'attaque le 8 juillet. L'opérateur indique que des données clients ont potentiellement été compromises : noms, prénoms, adresses, numéros de téléphone, dates de naissance, et dans certains cas, les pièces d'identité numérisées fournies lors de la souscription.
Le 12 juillet, LockBit commence à publier des échantillons des données volées sur son site du dark web. Les données incluent des scans de cartes d'identité, de passeports et de justificatifs de domicile.
La publication de pièces d'identité numérisées représente un niveau de gravité supérieur à une fuite « classique ». Une carte d'identité scannée permet une usurpation d'identité complète : ouverture de comptes bancaires, souscription de crédits, falsification de documents administratifs. Les victimes de La Poste Mobile font face à un risque d'usurpation qui durera aussi longtemps que leur pièce d'identité restera valide - soit jusqu'à 15 ans pour une CNI.
2023 : les campagnes de SIM swapping
Dans les mois suivant la fuite LockBit, des campagnes de SIM swapping ciblant spécifiquement les clients de La Poste Mobile ont été signalées. Le SIM swapping - j'y reviens en détail plus loin dans cet article - consiste à transférer le numéro de téléphone d'une victime vers une carte SIM contrôlée par l'attaquant, en se faisant passer pour le client auprès de l'opérateur.
Les données volées lors de l'attaque LockBit fournissaient exactement ce qu'il fallait pour ces attaques : l'identité complète du client, son numéro de téléphone, et dans certains cas, une copie de sa pièce d'identité. Des victimes ont rapporté sur les forums Que Choisir et Signal Arnaques avoir découvert que leur ligne avait été transférée sur une autre SIM sans leur consentement, suivie dans les heures suivantes de prélèvements bancaires non autorisés.
C'est un cas d'école de l'enchaînement des menaces : une fuite de données alimente des campagnes de fraude ciblée des mois, voire des années plus tard.
Le problème systémique de la supply chain télécom
En relisant la chronologie de chaque incident, un fil rouge apparaît : dans la majorité des cas, la compromission n'a pas ciblé les systèmes cœur de réseau de l'opérateur, mais des outils périphériques ou des prestataires tiers.
Les vecteurs d'attaque récurrents
| Incident | Vecteur |
|---|---|
| Orange (janvier 2014) | Prestataire d'emailing compromis |
| Orange (avril 2014) | Faille web dans l'espace client |
| La Poste Mobile (2022) | Ransomware LockBit (accès initial non précisé) |
| Altice/SFR (2023) | Compromission de systèmes internes |
| Bouygues Telecom (2023) | Partenaire commercial compromis |
| SFR (septembre 2024) | Outil de gestion de commandes compromis via identifiants volés |
| Free (octobre 2024) | Outil de gestion interne compromis via compte volé |
Sur les sept incidents majeurs, au moins trois impliquent directement un prestataire ou un partenaire, et trois autres passent par des outils d'administration interne (souvent utilisés par des prestataires ou des sous-traitants). Le réseau télécoms lui-même - l'infrastructure qui fait transiter vos appels et vos données - n'est pas la cible. Ce sont les systèmes CRM, les outils de gestion de commandes, les portails partenaires et les plateformes marketing qui sont visés.
Pourquoi les outils internes sont le ventre mou
Un opérateur télécom investit massivement dans la sécurité de son réseau cœur : il en va de la continuité du service. Mais les outils de gestion client, souvent développés au fil des années par empilement de couches applicatives, bénéficient rarement du même niveau de protection.
Ces outils sont accessibles à des milliers d'utilisateurs : agents en boutique, conseillers en centre d'appel (y compris des centres d'appel offshore), techniciens de terrain, partenaires commerciaux. Chaque utilisateur est un point d'entrée potentiel. La mise en place du MFA sur ces outils se heurte à des contraintes opérationnelles (temps de connexion dans les boutiques, rotation du personnel en centre d'appel), et la segmentation fine des droits d'accès - qui empêcherait un agent de boutique d'exporter 19 millions de fiches - est souvent sacrifiée au profit de la rapidité opérationnelle.
C'est un arbitrage classique entre sécurité et productivité. Mais quand les conséquences d'un seul compte compromis sont la fuite de 19,2 millions de dossiers, l'arbitrage est mauvais.
Ce qui se passe avec les données volées : du dark web à votre compte bancaire
Une fuite de données n'est pas un événement ponctuel. C'est le début d'une chaîne de fraudes qui peut durer des années. Voici les trois principales exploitations des données télécom volées.
La revente sur les marchés cybercriminels
Les données volées sont d'abord vendues en bloc (le « méga-lot »), puis découpées en sous-ensembles spécialisés et revendues à des fraudeurs spécialisés. Un lot contenant des IBAN sera vendu à des spécialistes de la fraude bancaire. Un lot contenant des numéros IMSI sera vendu à des spécialistes du SIM swapping. Un lot contenant des emails sera vendu à des opérateurs de campagnes de phishing.
La durée de vie des données sur les marchés criminels est longue. Les données volées lors des fuites Orange de 2014 circulent encore en 2026. Les noms et dates de naissance ne changent pas. Les adresses changent rarement. Les données s'accumulent, se croisent et s'enrichissent : un attaquant peut combiner les données de la fuite Free (nom + adresse + IBAN) avec celles de la fuite France Travail (numéro de Sécurité sociale) pour constituer un dossier d'usurpation d'identité complet.
Le phishing ciblé (spear phishing)
Les données des fuites télécom alimentent directement les campagnes de phishing. Un attaquant qui connaît votre nom, votre opérateur, votre type d'abonnement et votre adresse peut vous envoyer un email ou un SMS imitant parfaitement une communication de Free ou de SFR :
« Monsieur Dupont, suite à l'incident de sécurité dont vous avez été informé, nous vous invitons à mettre à jour vos coordonnées bancaires pour éviter toute interruption de service. Cliquez ici pour accéder à votre espace client sécurisé. »
Ce type de message est redoutablement efficace parce qu'il s'appuie sur un événement réel (la victime sait qu'il y a eu une fuite), il est personnalisé (le nom et l'opérateur sont corrects) et il joue sur les biais psychologiques d'urgence et d'autorité qui poussent à l'action immédiate.
D'après le baromètre Cybermalveillance.gouv.fr 2024, les signalements de phishing imitant les opérateurs télécoms ont augmenté de 78 % entre octobre et décembre 2024, en corrélation directe avec les fuites Free et SFR. C'est une exploitation mécanique : quand les données sont fraîches, les campagnes de phishing sont lancées dans les jours qui suivent.
Pour comprendre les mécanismes du phishing et comment tester la résistance de vos équipes, consultez notre guide de la simulation de phishing en entreprise.
Le SIM swapping : l'attaque qui vide vos comptes bancaires
Le SIM swapping est probablement la conséquence la plus grave des fuites de données télécom, parce qu'il permet de contourner l'authentification à deux facteurs (2FA) par SMS - le mécanisme de sécurité utilisé par la quasi-totalité des banques françaises.
Comment ça fonctionne :
- L'attaquant dispose des données personnelles de la victime (nom, date de naissance, adresse, numéro de client) grâce à une fuite télécom.
- Il contacte l'opérateur (par téléphone, en boutique ou via l'espace client) en se faisant passer pour la victime.
- Il demande un remplacement de carte SIM, en invoquant une perte, un vol ou un changement de téléphone.
- L'opérateur, après vérification de l'identité (questions de sécurité auxquelles l'attaquant peut répondre grâce aux données volées), transfère le numéro sur une nouvelle SIM.
- La victime perd immédiatement le réseau sur son téléphone.
- L'attaquant, qui reçoit désormais les SMS de la victime, accède à ses comptes bancaires et valide des virements ou des paiements.
L'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC) a signalé une hausse de 40 % des signalements de SIM swapping en France en 2024, un pic directement corrélé aux fuites SFR et Free.
Les montants en jeu sont considérables. En juin 2023, la police nationale a démantelé un réseau de SIM swapping qui avait détourné plus de 600 000 euros en quelques mois. Les victimes étaient systématiquement identifiées à partir de données provenant de fuites antérieures.
C'est pourquoi les experts en cybersécurité recommandent de ne jamais utiliser le SMS comme deuxième facteur d'authentification, mais de privilégier une application d'authentification (Google Authenticator, Authy, Microsoft Authenticator) ou une clé de sécurité physique (YubiKey, Titan).
La vague de fraude aux IBAN : un phénomène nouveau en France
Avant la fuite Free d'octobre 2024, la fraude par prélèvement SEPA à partir d'IBAN volés était un phénomène relativement marginal en France. Les IBAN circulent naturellement (on les donne à son employeur, à son bailleur, à ses créanciers), mais leur exploitation massive à des fins frauduleuses nécessite un volume de données que seule une fuite majeure peut fournir.
Le mécanisme du prélèvement SEPA frauduleux
Le prélèvement SEPA repose sur un mandat signé par le débiteur autorisant le créancier à prélever des sommes sur son compte. En théorie, la banque du débiteur vérifie l'existence du mandat avant d'autoriser le prélèvement. En pratique, dans le système SEPA pan-européen, la vérification est faible : la banque du débiteur fait confiance à la banque du créancier, qui fait confiance au créancier.
Un fraudeur peut donc :
- Créer une société fictive (ou utiliser une société-écran)
- Ouvrir un compte bancaire au nom de cette société
- S'inscrire comme créancier SEPA auprès de sa banque
- Soumettre des demandes de prélèvement avec les IBAN volés
- Prélever des montants modérés (10 à 50 euros) pour éviter les alertes
- Transférer les fonds vers des comptes à l'étranger avant que les contestations n'arrivent
L'ampleur post-Free
Après la fuite Free, les signalements de prélèvements SEPA non autorisés ont explosé. L'Observatoire de la sécurité des moyens de paiement (Banque de France) a publié un communiqué en décembre 2024 rappelant les droits des consommateurs et les obligations des banques.
Plusieurs avocats spécialisés en droit bancaire ont signalé un afflux de clients victimes de prélèvements frauduleux à partir de novembre 2024. Maître Hélène Lebon, avocate au barreau de Paris spécialisée en cybercriminalité, a déclaré à L'Express que « les IBAN de la fuite Free alimentent une industrie de la fraude qui va durer des mois, voire des années ».
Comment se protéger
La protection contre la fraude aux IBAN repose sur trois piliers :
1. La liste blanche de créanciers La plupart des banques françaises permettent de restreindre les prélèvements SEPA aux seuls créanciers que vous avez explicitement autorisés. Cette fonctionnalité, appelée « liste blanche » ou « liste de créanciers autorisés », est accessible depuis l'espace client en ligne de la plupart des banques. Si votre banque ne la propose pas, exigez-la par écrit.
2. La surveillance quotidienne Vérifiez vos relevés bancaires chaque jour. Les fraudeurs comptent sur le fait que la plupart des gens ne consultent leur relevé qu'une fois par mois. Un prélèvement frauduleux de 19,99 euros peut passer inaperçu pendant des semaines si vous ne regardez pas.
3. La contestation rapide En cas de prélèvement non autorisé, vous avez 13 mois pour contester (article L133-24 du Code monétaire et financier). La banque est tenue de vous rembourser sous un jour ouvré. N'attendez pas : plus la contestation est rapide, plus les chances de tracer et bloquer le fraudeur sont élevées.
Les régulateurs face aux fuites télécom : CNIL, ARCEP et les limites du système
Les opérateurs télécoms sont soumis à un double régime de régulation en matière de protection des données et de sécurité des réseaux.
La CNIL : l'arme du RGPD
La CNIL est compétente pour sanctionner les manquements à la protection des données personnelles. Depuis le RGPD (2018), les amendes peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial.
La CNIL a ouvert des instructions après les fuites Free et SFR de 2024. Mais les procédures sont longues. À titre de comparaison, l'amende de 50 millions d'euros infligée à Google en 2019 pour manquement au consentement a été prononcée six mois après la plainte. Les dossiers plus complexes prennent 12 à 24 mois.
Les sanctions passées de la CNIL à l'encontre des opérateurs restent modestes par rapport aux enjeux. L'avertissement public infligé à Orange en 2014 n'avait aucune valeur financière. Il reste à voir si les fuites de 2024, survenues sous le régime du RGPD, donneront lieu à des sanctions proportionnelles à la gravité des manquements.
Pour les PME qui sont clients de ces opérateurs et dont les données clients transitent par les systèmes compromis, la question de la responsabilité est complexe. Le RGPD impose à chaque responsable de traitement de s'assurer que ses sous-traitants présentent des « garanties suffisantes » de sécurité (article 28). Si vous avez partagé des données clients avec un opérateur qui se fait pirater, votre propre responsabilité peut être engagée.
L'ARCEP : la sécurité des réseaux
L'ARCEP (Autorité de régulation des communications électroniques, des postes et de la distribution de la presse) est compétente sur la sécurité des réseaux et services de communications électroniques. L'article L33-1 du Code des postes et des communications électroniques impose aux opérateurs de prendre les mesures nécessaires pour « garantir la sécurité et l'intégrité des réseaux et services ».
L'ARCEP peut prononcer des sanctions financières allant jusqu'à 3 % du chiffre d'affaires (5 % en cas de récidive) pour les manquements aux obligations de sécurité. En pratique, l'ARCEP est historiquement plus focalisée sur les problématiques d'accès au réseau et de concurrence que sur la cybersécurité des systèmes d'information. Les fuites de 2024 pourraient changer cette donne.
La directive NIS2 : un nouveau cadre en 2025
La transposition de la directive NIS2 en droit français (prévue pour octobre 2024, effective début 2025) classe les opérateurs de télécommunications parmi les entités essentielles, soumises aux obligations les plus strictes en matière de cybersécurité. Concrètement, NIS2 impose :
- La mise en place d'une gouvernance de la sécurité au niveau de la direction
- Des analyses de risque régulières et documentées
- La sécurisation de la supply chain
- La notification des incidents « importants » sous 24 heures (alerte préliminaire) puis 72 heures (notification complète)
- Des audits de sécurité réguliers
Les sanctions prévues par NIS2 pour les entités essentielles atteignent 10 millions d'euros ou 2 % du chiffre d'affaires mondial. Elles s'ajoutent aux sanctions RGPD et ARCEP, créant un empilement réglementaire qui devrait, en théorie, inciter les opérateurs à investir davantage dans la sécurité.
L'UFC-Que Choisir contre Free : l'action de groupe
En décembre 2024, l'UFC-Que Choisir a annoncé le lancement d'une action de groupe contre Free, estimant que l'opérateur avait manqué à ses obligations de sécurité. C'est l'une des premières actions de groupe en matière de données personnelles en France (le mécanisme existe depuis la loi Justice du XXIe siècle de 2016, mais reste peu utilisé).
L'issue de cette procédure sera suivie de près par l'ensemble du secteur. Si Free est condamné à indemniser individuellement les millions de victimes - même pour des montants modestes - le signal envoyé aux autres opérateurs sera puissant.
La timeline complète : dix ans de fuites télécoms en France
Voici, compilée, la chronologie de tous les incidents documentés touchant les opérateurs télécoms français.
| Date | Opérateur | Victimes | Données clés exposées | Vecteur |
|---|---|---|---|---|
| Janvier 2014 | Orange | 1,3 million | Identité, email, téléphone | Prestataire emailing |
| Avril 2014 | Orange | 800 000 | Identité, email, téléphone, employeur | Faille web espace client |
| Juillet 2022 | La Poste Mobile | ~2 millions (non confirmé) | Identité, pièces d'identité, téléphone | Ransomware LockBit 3.0 |
| 2023 | La Poste Mobile (SIM swapping) | Indéterminé | Transferts de numéro frauduleux | Exploitation données LockBit |
| Août 2023 | Altice/SFR | 1,4 million | Identité, adresse, email, contrat | Compromission interne |
| Septembre 2023 | Bouygues Telecom | 200 000 | Identité, email, téléphone, abonnement | Partenaire commercial |
| Septembre 2024 | SFR | 3,6 millions | Identité, contrat, IBAN, IMSI | Outil de gestion de commandes |
| Octobre 2024 | Free | 19,2 millions | Identité, abonnement, 5M IBAN | Outil de gestion interne |
Total : plus de 26 millions de dossiers compromis, sans compter les doublons (un même client touché par plusieurs fuites). Pour la base complète des incidents cyber en France, consultez notre base de données d'incidents.
Que doivent faire les entreprises clientes des opérateurs
Si votre entreprise utilise les services d'un opérateur télécom français - ce qui est le cas de toutes les entreprises sans exception - vous êtes concerné par ces fuites, directement ou indirectement.
Vos données d'entreprise sont dans les bases compromises
Un contrat mobile professionnel chez Free, SFR, Orange ou Bouygues signifie que les noms, numéros de téléphone et adresses email de vos collaborateurs figurent dans la base clients de l'opérateur. Si cette base est compromise, vos collaborateurs deviennent des cibles identifiées pour du phishing ciblé.
Pire : si les attaquants savent que tel numéro de mobile est associé au directeur financier de telle entreprise, ils ont tout ce qu'il faut pour monter une attaque de type « fraude au président » ou compromission de messagerie professionnelle (BEC). Les statistiques du phishing en entreprise montrent que le BEC est le vecteur le plus coûteux, avec un coût médian de 50 000 euros par incident réussi selon le FBI IC3.
Les mesures immédiates
1. Audit des données partagées avec votre opérateur Identifiez quels collaborateurs ont un contrat mobile professionnel, quelles données ont été partagées (numéros IMSI, IBAN de l'entreprise pour le prélèvement de la facture, identités des utilisateurs). Si ces données sont dans une base compromise, considérez-les comme publiques.
2. Changement des identifiants d'accès Si vos collaborateurs ont des comptes sur les espaces client des opérateurs (pour gérer leurs lignes), changez les mots de passe et activez le MFA.
3. Alerte aux collaborateurs Informez vos salariés que leurs données ont potentiellement été compromises et qu'ils doivent être vigilants face aux tentatives de phishing imitant leur opérateur. Un email de sensibilisation interne, avec des exemples concrets de faux messages, prend 20 minutes à rédiger et peut éviter un incident.
4. Renforcement de la sécurité bancaire Si l'IBAN de l'entreprise est dans une base compromise, contactez votre banque pour mettre en place une liste blanche de prélèvements et un contrôle renforcé des virements sortants.
5. Simulation de phishing ciblée Lancez une campagne de simulation de phishing avec un scénario « faux message de votre opérateur » pour tester la réaction de vos collaborateurs. C'est le moment idéal : le contexte est réel, la menace est concrète, et le taux de clic sur ce type de scénario est révélateur. Lancer votre première simulation prend moins de 15 minutes.
La responsabilité juridique de l'entreprise
Le RGPD impose au responsable de traitement (votre entreprise) de prendre en compte les risques liés à ses sous-traitants et prestataires. Si vous confiez les données de vos clients à un opérateur télécom qui se fait pirater, votre propre responsabilité peut être engagée si vous n'avez pas pris de mesures pour évaluer et encadrer la sécurité du sous-traitant.
Concrètement, cela signifie :
- Vérifier les clauses de sécurité dans vos contrats opérateurs
- Exiger des garanties de notification en cas d'incident
- Documenter votre démarche d'évaluation des risques tiers
Pour les PME soumises à des obligations de conformité (NIS2, Dora, assurance cyber), la preuve d'une démarche proactive de gestion des risques tiers est de plus en plus demandée. Notre article sur l'assurance cyber et la preuve de formation détaille les attentes des assureurs.
Comment les particuliers peuvent se protéger
Si vous êtes ou avez été client Free, SFR, Orange, Bouygues ou La Poste Mobile au cours des dix dernières années, il y a une probabilité très élevée que vos données personnelles figurent dans au moins une base compromise. Voici les gestes concrets qui réduisent votre exposition.
Sécuriser vos comptes
Changez vos mots de passe sur tous les espaces client opérateurs. Utilisez un mot de passe unique et complexe (au moins 14 caractères, généré par un gestionnaire de mots de passe). Ne réutilisez jamais le même mot de passe sur plusieurs sites.
Activez la double authentification sur tous les comptes qui la proposent. Préférez une application d'authentification (Google Authenticator, Authy) au SMS. Si votre banque ne propose que le SMS comme deuxième facteur, signalez-le et utilisez les autres mesures de protection disponibles.
Sécuriser vos finances
Contactez votre banque pour :
- Mettre en place une liste blanche de créanciers autorisés au prélèvement
- Activer les alertes en temps réel pour chaque prélèvement
- Vérifier qu'aucun prélèvement suspect n'a été initié récemment
- Demander le blocage des prélèvements non autorisés
Surveillez vos relevés bancaires chaque jour pendant les 6 mois suivant une fuite. Les fraudeurs attendent parfois plusieurs semaines ou mois avant d'exploiter les données volées.
Se protéger contre le SIM swapping
Contactez votre opérateur pour :
- Mettre en place un code de sécurité ou mot de passe supplémentaire pour toute opération sur votre ligne (changement de SIM, portabilité)
- Demander que toute modification de votre contrat nécessite une vérification renforcée (passage en boutique avec pièce d'identité)
- Activer les notifications de changement de SIM si l'opérateur les propose
Soyez attentif aux signes d'un SIM swap en cours : perte soudaine du réseau mobile, SMS ou appels qui ne fonctionnent plus, notification d'un changement de SIM que vous n'avez pas demandé. Si cela arrive, contactez immédiatement votre opérateur et votre banque.
Rester vigilant face au phishing
Méfiez-vous de tout contact prétendant venir de votre opérateur ou de votre banque. Les attaquants savent que vous êtes au courant des fuites et jouent dessus : « suite à l'incident, veuillez vérifier vos données », « votre compte a été sécurisé, connectez-vous pour confirmer ». Ces messages sont des pièges.
Règle absolue : ne cliquez jamais sur un lien reçu par email ou SMS de votre opérateur. Allez directement sur le site officiel en tapant l'adresse dans votre navigateur. Pour approfondir les nouvelles formes de phishing (quishing, vishing, smishing) et apprendre à les reconnaître.
L'après-Free : ce qui a changé (et ce qui n'a pas changé)
La fuite Free d'octobre 2024 a eu un effet de prise de conscience, au moins temporaire. Quelques changements sont perceptibles.
Ce qui a bougé
Le débat sur le stockage des IBAN. Plusieurs parlementaires ont interpellé le gouvernement sur la nécessité de limiter la durée de conservation des données bancaires par les opérateurs. Un opérateur a-t-il vraiment besoin de conserver l'IBAN de 5 millions de clients Freebox dans une base accessible depuis un outil d'administration ? La tokenisation ou le stockage dans un coffre-fort cryptographique séparé limiterait considérablement les dégâts en cas de compromission.
La pression des assureurs cyber. Les assureurs qui couvrent les risques cyber des opérateurs télécoms ont commencé à exiger des preuves de segmentation des accès, de MFA généralisé et de monitoring des comportements anormaux. Les primes d'assurance cyber des opérateurs ont augmenté de 30 à 50 % après les incidents de 2024, selon des sources du marché de l'assurance.
L'action de l'UFC-Que Choisir. L'action de groupe engagée contre Free est un précédent. Si elle aboutit, elle créera une jurisprudence qui s'appliquera à tout le secteur.
Ce qui n'a pas changé
L'architecture des systèmes CRM. Les outils de gestion client des opérateurs restent, pour la plupart, des systèmes monolithiques où un utilisateur authentifié peut accéder à des millions de fiches. La segmentation des accès par zone géographique, par type de client ou par niveau de sensibilité des données reste l'exception, pas la règle.
La dépendance aux prestataires. Le modèle économique des opérateurs repose sur l'externalisation massive : centres d'appel, boutiques partenaires, sous-traitants techniques, agences de marketing. Chacun de ces acteurs a accès à des données clients, et chacun est un vecteur d'attaque potentiel. La directive NIS2 impose de sécuriser la supply chain, mais la mise en œuvre concrète prendra des années.
Le SMS comme facteur d'authentification bancaire. Malgré les risques connus du SIM swapping, la grande majorité des banques françaises continuent d'utiliser le SMS comme seul deuxième facteur d'authentification pour valider les opérations sensibles. Le règlement DSP2 impose une authentification forte, mais n'interdit pas le SMS. Tant que le SMS restera le standard, les données télécom resteront une arme pour la fraude bancaire.
L'impact sur les PME françaises : au-delà du risque individuel
Les fuites de données télécom ne touchent pas que les particuliers. Pour les PME françaises, les conséquences sont multiples et souvent sous-estimées.
Le risque de fraude au président
Quand un attaquant dispose du numéro de mobile professionnel du directeur financier, de son adresse email et de sa date de naissance - toutes données disponibles dans les bases d'opérateurs compromises - il dispose du matériel nécessaire pour monter une attaque de type « fraude au président ». Un appel avec un numéro usurpé (voire une voix clonée par IA) suivi d'un email crédible peut convaincre un employé de procéder à un virement urgent.
Le coût moyen d'une fraude au président en France est de 150 000 euros selon l'OCRGDF (Office central pour la répression de la grande délinquance financière). Les PME, qui n'ont souvent pas de procédure formalisée de double validation des virements, sont les premières victimes.
Le risque d'interruption de service
Si un attaquant réussit un SIM swap sur le numéro du dirigeant ou du responsable informatique de l'entreprise et accède aux comptes cloud de l'entreprise protégés par SMS, l'impact peut aller jusqu'à l'interruption complète de l'activité. La durée moyenne d'interruption après une cyberattaque pour une PME est de 3 à 7 semaines, avec un coût direct et indirect compris entre 58 600 et 466 000 euros.
Le risque réglementaire
Une PME dont les données clients ont été exposées via une fuite télécom doit notifier la CNIL si elle estime que la fuite présente un risque pour les personnes concernées. Le fait que la fuite provienne d'un prestataire ne l'exonère pas de son obligation de notification. Le RGPD impose une notification sous 72 heures - un délai très court pour une PME qui découvre qu'un de ses sous-traitants a été compromis.
Bilan et recommandations concrètes
Dix ans de fuites de données chez les opérateurs télécoms français permettent de tirer des conclusions claires.
Première conclusion : le problème est structurel
Les fuites ne sont pas des accidents isolés. Elles résultent d'un modèle où des millions de données sensibles (identité, coordonnées bancaires, identifiants réseau) sont stockées dans des systèmes accessibles à des milliers d'utilisateurs internes et externes, avec une segmentation insuffisante et un monitoring des accès souvent défaillant. Tant que cette architecture ne changera pas, les fuites continueront.
Deuxième conclusion : la supply chain est le maillon critique
Sur les sept incidents majeurs documentés ici, au moins trois sont directement imputables à un prestataire ou partenaire. Les opérateurs investissent dans la sécurité de leur réseau cœur mais négligent la sécurité de leur chaîne de sous-traitance. NIS2 les y obligera, mais la mise en conformité sera longue et coûteuse.
Troisième conclusion : les données volées ont une durée de vie illimitée
Les données exfiltrées en 2014 chez Orange sont encore exploitables en 2026. Les IBAN volés chez Free alimenteront des fraudes pendant des années. Un nom et une date de naissance ne changent pas. Cela signifie que la protection des victimes ne peut pas être ponctuelle : elle doit être permanente.
Recommandations pour les entreprises
-
Abandonnez le SMS comme deuxième facteur d'authentification. Déployez des applications d'authentification (Microsoft Authenticator, Google Authenticator) ou des clés de sécurité physiques (YubiKey) pour tous les accès sensibles.
-
Segmentez les droits d'accès. Un agent de centre d'appel n'a pas besoin d'accéder à 19 millions de fiches. Appliquez le principe du moindre privilège et journalisez tous les accès aux données clients.
-
Surveillez vos prélèvements SEPA. Mettez en place des listes blanches de créanciers et des alertes en temps réel sur les comptes bancaires de l'entreprise.
-
Formez vos collaborateurs au phishing télécom. Les campagnes de phishing exploitant les fuites d'opérateurs sont en forte hausse. Un programme de simulation de phishing avec des scénarios imitant les opérateurs est la meilleure protection. Le taux de clic moyen sur les campagnes de phishing baisse de 33 % à moins de 5 % après 12 mois de simulation régulière.
-
Auditez vos prestataires. Exigez des preuves de MFA, de chiffrement des données et de monitoring des accès. Un prestataire qui ne peut pas fournir ces garanties est un risque que vous portez.
-
Préparez un plan de réponse à incident. Si votre opérateur vous notifie une fuite, vous avez 72 heures pour notifier la CNIL si des données de vos propres clients sont impactées. Ce n'est pas le moment de découvrir la procédure.
Recommandations pour les particuliers
- Vérifiez vos données sur haveibeenpwned.com.
- Changez vos mots de passe sur tous les espaces client opérateurs (et partout où vous utilisiez le même mot de passe).
- Activez le MFA par application (pas par SMS) sur tous vos comptes sensibles.
- Contactez votre banque pour mettre en place une liste blanche de prélèvements.
- Surveillez quotidiennement vos relevés bancaires.
- Signalez toute anomalie à votre banque et sur la plateforme Cybermalveillance.gouv.fr.
Les données de plus de 26 millions de Français sont aujourd'hui entre les mains de cybercriminels grâce aux fuites des opérateurs télécoms. Ce chiffre va continuer à croître. La question n'est pas de savoir si le prochain opérateur sera touché, mais quand. Et votre meilleure protection, c'est de considérer que vos données sont déjà compromises, et d'agir en conséquence.
Pour les entreprises, le premier geste concret est de tester la résistance de vos collaborateurs face au phishing - le vecteur qui exploite directement les données volées. Lancez votre première simulation de phishing en 15 minutes, et mesurez votre niveau de risque réel.
Thomas Ferreira - CISSP, consultant en cybersécurité. Je publie régulièrement des analyses sur les menaces cyber en France. Retrouvez tous mes articles sur nophi.sh/fr/blog.