Apple, BNP, Canal +, Orange, la Poste, Free, SFR, Ramsay Santé, gigantesque faille de données dans les centres d'appels francophones.
35 sociétés a minima, dont Apple, Amazon, BNP-Paribas, le Crédit Agricole, Canal +, Orange, SFR, Ramsay Santé, Biogroup ont perdu ou se sont fait dérober les enregistrements de conversations téléphoniques menées récemment avec leurs clients depuis leurs centres de contacts, internalisés et externalisés. Les fichiers de conversations téléphoniques sont à vendre, renseignés avec les coordonnées téléphoniques des clients . ( Exclusivité En-Contact )
Plus de quinze ans après le vol des données du président de la République de l'époque, Nicolas Sarkozy, intervenu déjà dans le centre d'appels d'un grand groupe français, les centres de contacts ( BPO et relation client) de plus de trente-cinq grandes sociétés et dont plusieurs inscrites au CAC 40 ont été de nouveau l'objet d'une perte ou d'un vol de données ces dernières semaines. Le fichier qui comporterait plus d'un million de conversations téléphoniques, non anonymisées et comprenant des données personnelles, est à vendre sur le web. Des GAFA et des très grosses start-up françaises sont également concernées. Le nom du fichier : 1,1M Audio Files.wav with Phonne Number in name, File French Call Center (sic).
Les conversations sont réelles, récentes et comprennent des données personnelles.
“Ecoutées par nos soins ce jour, les conversations menées par des clients de filiales de BNP-Paribas, du Crédit Agricole, d'Orange, de Canal Plus, mais également de Ramsay Santé, eDreams, Iberia, N26, Free, G7, Biogroup, Oney, Compte Nickel etc sont toutes réelles, ont été menées dans les dernières semaines et ont toutes abouti sur un SVI, serveur vocal interactif, indique un journaliste de la rédaction du magazine En-Contact qui les a retranscrites grâce à des outils de speech-to-text: on y entend un abonné de Canal + désireux de comprendre pourquoi il n'accède pas à une chaine d'un bouquet, des clients de Free ou de ManoMano, autant de données qui ne devraient pas être accessibles et sont parfois très confidentielles: tel client d'Iberia désire ainsi savoir s'il pourra emporter ses clubs de golf à Tenerife. Une patient désire prendre rdv avec un médecin, en urgence, en Isère et sera renvoyée vers la maison médicale. Les numéros de téléphone mobile sont tous accessibles. L'achat et l'utilisation de ces informations pouvant largement faciliter le hacking.
Joint par nos soins, Julien Métayer, hacker éthique et expert en sécurité qui a partagé l'information assez tôt, a confirmé que les écoutes qu'il avait menées sur une partie des fichiers l'amenaient à valider, tout comme nous, la véracité des conversations ( Merci Julien pour votre réactivité !). Egalement sur la brèche dès ce matin, le fondateur de ViaDialog, Jean-David Bénichou, tentait de savoir ce qui relevait du vrai et du faux ( Merci Jean-David)
L'outil d'enregistrement impliqué ou l'éditeur de logiciel ?
“Au regard de la liste des sociétés concernées, celles que nous avons pu lister, il ne semble pas qu'il s'agisse d'une faille ou d'un vol intervenu chez un seul et même acteur du BPO, même un des plus grands, car aucun des acteurs du marché ne travaille avec la totalité des marques mentionnées. Il pourrait plutôt s'agir d'une faille provenant des outils d'enregistrement utilisés, peut-être chez l'un des plus grands éditeurs du domaine ou chez un opérateur télécom proposant souvent des SVI à ses clients, indique Manuel Jacquinet, rédacteur en chef du magazine spécialisé. “La présence dans ces fichiers de sociétés telles Amazon, Apple est étonnante ” ajoute-t-il: les process de sécurité imposés par les GAFA sont parmi les plus rigoureux dans le domaine du QM ( Quality Monitoring )
Ou peut-être d'un administrateur qui aurait commis quelque impair.
En tout état de cause, et comme l'indique le Chief Security Officer d'un des plus grands acteurs mondiaux du BPO, ce sont les marques qui sont responsables des moyens mis en oeuvre. Le cours de bourse de certaines pourrait être impacté par ces révélations.
C'est à savoir: les consommateurs qui se demandent parfois pourquoi ils sont sollicités sur leur numéros de téléphone, alors qu'ils ne le divulguent pas, alors qu'ils sont sur Bloctel, comprendront un peu mieux d'où ces données peuvent arriver. 3500 euros est le prix de base réclamé par le vendeur pour accéder à son fichier. Afin de concrétiser la cession de son fichier, le receleur a déposé sur le web un fichier test des conversations téléphoniques. Rien ne prouve donc que le fichier qu'il indique posséder et désirer céder soit aussi volumineux qu'annoncé, mais le seul déjà communiqué constitue déjà une preuve de faille significative pour les entreprises mentionnées.
La rédaction d'En-Contact.
Actualisation du vendredi 17 Mars: on a identifié chez quels opérateurs, de renseignements téléphoniques, ces vols de données ont été commis.