Spotlight n°1 – Fraude sur les coordonnées bancaires de Nicolas Sarkozy : les centres d’appels de Canal+ et Teleperformance impliqués
Archive juin 2009
Révélée par le Journal du Dimanche en Octobre 2008, la fraude concernant les coordonnées bancaires du Chef de l’Etat implique les centres d’appel de Teleperformance et Canal +.
Une enquête exclusive publiée par le magazine professionnel En-Contact et reprise par Libération révèle que les centres d’appel et de contact sont devenus de véritables entrepôts de données confidentielles, souvent mal sécurisés. Malgré de graves précédents, les directions de la relation client des grands groupes français n’ont pas pris conscience des mesures à prendre.
La fraude qui a concerné les coordonnées bancaires du Président de la République vient d’être éclaircie et son issue révélée par le Site Mediapart le 5 Mars. Elle met en lumière des pratiques inquiétantes en matière de sécurité des données dans les centres d’appels francophones, y compris ceux des plus grandes sociétés, françaises ou mondiales. En effet, les sociétés Canal + et Teleperformance, leader mondial des centres d’appels externalisés sont impliquées dans une affaire qu’on aurait tort de réduire aux agissements frauduleux d’un télévendeur ripou, Bacar Nboh, qui a admis être l’auteur du recel des coordonnées présidentielles à l’issue de l’enquête déclenchée en Octobre 2008 à la demande de la victime. C’est un banal prélèvement suspect de 170 euros sur le compte bancaire (domicilié à la Société Générale) de M. Nicolas Sarkozy qui avait éveillé les soupçons. Après avoir écarté un certain nombre de fausses pistes les enquêteurs ont mis à jour les agissements d’un téléconseiller de la société Teleperformance, prestataire de Canal + depuis de nombreuses années. La chaîne cryptée, bien que disposant de centres d’appels internalisés, a en effet l’habitude de collaborer avec des prestataires externes spécialisés (des « outsourceurs ») pour conquérir de nouveaux abonnés ou leur assurer des services clients à distance ( facturation, upsell, hotline technique etc …) Parmi ceux-ci, le leader mondial de cette activité, la société française Teleperformance qui dispose de plus de 80 000 postes de travail dans le monde, et de nombreux centres d’appels en France. Au sein de ceux-ci, Bacar Nboh est l’un des téléconseillers (employé par Teleperformance de Décembre 2007 à Mai 2008) et pouvait avoir accès aux coordonnées notamment bancaires des abonnés de la chaîne, ceux-ci réglant leur abonnement par prélèvements bancaires. Le téléconseiller indélicat récupérait un fichier comprenant les coordonnées bancaires de différents abonnés – près d’une cinquantaine de victimes -et les cédait à des complices en banlieue parisienne – six dont trois employés d’une boutique de téléphonie mobile –, lesquels les utilisaient pour ouvrir des abonnements téléphoniques. Le montant total des sommes ainsi détournées avoisinerait les 30000 à 50000 euros.
Au-delà du caractère forcément médiatique de la fraude étant donné la notoriété de la victime, c’est la facilité avec laquelle un téléconseiller peut aujourd’hui accéder à des données confidentielles, notamment dans les centres d’appel, qui choque et met en relief les failles des dispositifs de sécurité encadrant ces données.
Les centres de contact sont devenus de véritables entrepôts de données
En quelques années, de nombreux détournements de données confidentielles ou utilisations malencontreuses sont intervenus dans les centres d’appels, quelle que soit leur localisation. Désormais utilisés par tous les acteurs de la vie économique, pour payer un abonnement, une facture, faire appel à un technicien, ou pour souscrire tel ou tel service, les centres de contacts sont de véritables « entrepôts » de données sur la vie privée des citoyens et des consommateurs. Payer sa facture d’eau, de gaz, d’électricité, de téléphone par prélèvement bancaire est devenu une figure imposée. Commander une nouvelle carte de crédit, un billet SNCF, un passe Navigo ou déclarer des violences conjugales ? Autant de tâches et d’actes quotidiens désormais pris en charge par les quelques 250 000 téléconseillers, télévendeurs, chargés de clientèle qui travaillent désormais dans ces 2 400 centres de contacts français répartis sur le territoire.
Mais pour résoudre les problèmes de facturation ou fidéliser les clients, encore faut-il avoir accès à ces fameux fichiers clients et les enrichir lors de chaque contact, qu’il ait été établi par mail, par téléphone, ou par courrier. Vous êtes Madame X, demeurant Avenue Salvador Allende à Ivry ou Monsieur Y.B., résidant Villa Montmorency Paris XVIe vous avez envoyé un e-mail le 4 Mars à 12h32 pour réclamer la livraison d’un colis en souffrance, puis rappelé le 9 Mars à 16h02 pour cette même affaire ? On se souvient de vous sur les plateaux téléphoniques et les programmes de CRM (gestion de la relation client des sociétés) aident le téléconseiller à affiner son discours, son comportement, et proposer la bonne solution. Or ces données doivent rester accessibles pour permettre un suivi de la relation client ou un contact personnalisé. On rêve tous d’être identifiés dès le début de la conversation. « Bonjour M. Y.B., votre appel concerne je suppose, la relivraison du colis ? Notre coursier est en route, et devrait être chez vous à 16h30; laissez moi vérifier votre digicode… » Le problème, c’est que de temps à autre, un téléconseiller ou un salarié malintentionné ou négligent peut récupérer ces données et en faire un usage peu conforme aux objectifs initiaux.
En Inde, où sont délocalisés de nombreux centre d’appels anglophones, de telles fraudes sont intervenues en 2006 et 2007, qui avaient permis des détournements de sommes significatives. Les médias s’étaient emparés du cas pour fustiger l’ « offshorisation » intensive des centres d’appels, forcément responsables selon eux de ces pratiques. Mais, mauvaise pioche, l’incident qui nous occupe intervient chez le leader mondial des centres d’appels, une entreprise française, dans un centre d’appel français, et pour le compte d’un donneur d’ordres qu’on pourrait croire très vigilant sur l’accès à son fichier d’abonnés, cet actif qui fait la richesse de la chaîne.
De nombreux précédents
Une plainte déposée par le Président de la République a un mérite : elle est traitée rapidement et suscite quelques échos médiatiques. Mais d’autres Français ne voient pas leur affaire résolue si rapidement, ou donner lieu à une juste indemnisation, car c’est parfois leur vie privée qui est concernée ou bouleversée. Il y a plus de trois ans, après une conversation houleuse avec un téléconseiller de la société Orange -suite à des pannes non résolues ou à des questions de facturation, ces deux motifs représentant plus de 80% des appels ? -, un client de l’opérateur a reçu un SMS dont il se souvient encore : « ESPECE D ENCULE ON A TOUT SUR TOI ON VA KRAME TA MAISON ET VIOLE TA FEMME T MORT »
Ce type de menaces peut occasionner quelques nuits blanches lorsque vous réalisez qu’effectivement, votre adresse, le code de votre interphone, le nom de jeune fille de votre femme, sont disponibles chez votre fournisseur et que votre téléphone portable permet désormais de vous localiser facilement. En 2007, pour deux jeunes femmes c’est la publication dans l’annuaire de France Télécom d’un message suggestif et pas vraiment souhaité, associé à leurs noms, qui a profondément choqué : la première voyait son nom inscrit dans l’annuaire associé à la mention « raciste, n’aimant pas les arabes » ; le nom de la seconde était associé à une mention plus explicite à caractère : « en manque de b… ». Sandra, la Rennaise de 20 ans concernée par ce dernier commentaire, déclare « j’ai commencé à recevoir des appels d’inconnus me proposant des choses affreuses. Chrystelle, la Chambérienne soi-disant raciste, a subi l’opprobre des 200 000 abonnés de France Télécom en Savoie qui reçoivent l’annuaire. Après dépôt de plainte, ces deux clientes des téléphoniques Free et Bouygues Télécom, ont découvert que depuis l’ouverture du marché des Télécoms à la concurrence, les abonnés des autres opérateurs doivent faire une demande expresse pour figurer dans l’annuaire. Et le fichier transmis par l’opérateur n’est pas toujours contrôlé : parfois y subsistent des mentions ajoutées par des chargés de clientèle soit mal intentionnés, soit cherchant à se défouler à peu de frais.
De la roupie de sansonnet, comparé à ce qui peut vous arriver si vous êtes amateur de sexe en ligne … et personnalité connue : depuis quelques années, une industrie très rentable s’est développée, qui permet à un particulier de dialoguer, et plus si affinités, avec une hôtesse – c’est leur nom officiel. Le 3615 Ulla ou Sabrina permettait déjà ceci sur Minitel mais désormais, depuis votre téléphone mobile, vous pouvez voir Sabrina se déshabiller, murmurer, susurrer, et s’agiter devant la caméra pour satisfaire tous vos caprices. La consommation est évidemment surtaxée et grâce à votre écran de portable vous associez la voix à l’image.
Chacun fait fait fait c’qui lui plaît plaît plaît, disait la chanson. Là où le bât blesse, c’est que les grands consommateurs de ce type de services peuvent être identifiés et fidélisés grâce à leur téléphone mobile qui sert d’identifiant. Dans l’une des PME parisiennes spécialisées dans ce type de service et qui emploie dans son call center une trentaine d’hôtesses au milieu d’un studio vidéo, la rédaction a réussi à récupérer les fichiers de téléphone mobile de ces grands consommateurs et leur identité. Les croisements de fichiers de ce type ne sont pas si compliqués : l’identité d’un détenteur de numéro de téléphone mobile, surtout lorsqu’il s’agit de personnalités connues, est souvent disponible dans les annuaires d’anciens élèves, de clubs sélects, d’agences de voyage haut de gamme. Quelques opérations de dédoublonnement de fichiers et vous êtes en mesure de savoir quel grand patron, quelle personnalité du showbiz, du sport ou des médias consomme quoi, où et quand. Les hôtesses de ces call-centres spécialisés étant souvent en manque d’argent – elles sont rares à faire ce métier par passion –, ces call centres étant accessibles sans mesures de protection réellement draconiennes, il suffit de connaître les bonnes personnes ou d’agiter quelques billets au bon moment.
On est loin des 170 euros piratés sur le compte du Président
Avec de telles données à disposition, et compte tenu du roulement de personnel qui caractérise les centres de contacts partout en France, même s’il a diminué, un Bacar Nboh plus ambitieux, même agissant seul, peut faire … quelques dégâts.
Les grandes sociétés françaises bien discrètes sur les procédures de sécurité dans leurs centres d’appels
Quelles leçons les entreprises françaises, notamment les plus exposées d’entre elles, ont-elles tiré de ces précédents ? Lorsque notre rédaction les interpelle sur des questions précises relatives à leurs procédures de sécurité encadrant leurs dispositifs de relation client, celles impliquées dans l’incident présidentiel sont peu disertes, et s’en tiennent à des communiqués de presse convenus. Ainsi celui de Teleperformance : « Teleperformance France déplore les malversations constatées sur son centre de contacts opérant pour le compte de la société Canal +, mais se félicite également que ces procédures relatives à la traçabilité des opérations aient contribué à l’arrestation d’une bande organisée aujourd’hui présumée d’avoir opéré depuis plusieurs sources extérieures à l’entreprise » Chez Canal + « Le groupe tient à préciser que l’entreprise à qui il avait sous traité certaines tâches administratives et dont le collaborateur a commis un acte d’escroquerie à l’égard de Nicolas Sarkozy ne travaille plus pour Canal + depuis plusieurs mois. Canal + a adopté des dispositions nécessaires pour que les données personnelles de ses clients soient totalement protégées et qu’un tel incident ne puisse pas se reproduire»
Ces déclarations officielles laissent bien d’autres questions sans réponse :
-Pourquoi Canal + a-t-il cessé sa collaboration avec Teleperformance, et quand ? -Les « dispositions nécessaires » mentionnées dans le communiqué ont-elles failli ou étaient elles lacunaires avant cet incident ?
-D’autres groupes sont ils susceptibles d’être concernés par de tels incidents ?
Les directions de la relation client et les directions de la communication des sociétés Canal +, Teleperformance, Orange, et SFR ont été sollicitées pour répondre aux questions suivantes :
-Vos centres d’appels connaissent-ils des problèmes de ce type ? (téléconseillers utilisant ou récupérant des données dont ils font un usage frauduleux).
-Comment un téléconseiller peut-il, dans un centre d’appels en général, et en particulier au sein de votre société, disposer de coordonnées bancaires et en récupérer un grand nombre ? Vous estimez-vous, en tant que prestataire, plutôt bien organisé pour pallier ce type d’incident ?
-Quelles dispositions sont prises pour éviter ce type de manipulation et de récupération à des fins frauduleuses de ces informations sensibles ? Les téléconseillers sont-ils informés dans leur contrat de travail des risques encourus en cas de malveillance ? Existe-t-il, comme dans des grands groupes français, une direction de la sécurité menant de temps à autre des contrôles aléatoires ?
-Estimez-vous que votre société est mieux organisée à cet effet que d’autres prestataires ? A défaut, quelles mesures correctives comptez-vous prendre ou avez-vous prises pour éviter la réitération d’un tel événement ?
-Cette affaire a été médiatisée mais d’autres le sont moins. Combien de fraudes de ce type surviennent sur une année dans un groupe comme le vôtre ?
Aucun groupe n’a à ce jour souhaité nous répondre; parfois lorsque les réponses ont été fournies par les opérationnels en charge des centres d’appels, comme ce fut le cas chez Orange, les directions de la communication ont imposé un “blackout” sur ces informations.
Mais nos investigations continuent.
Retrouvez + de Spotlight, ici.