Orange Business Services, la branche entreprise d’Orange a été victime d’une attaque par injection SQL. La faille à l’origine du piratage a été rapidement corrigée mais a permis la fuite de 9 500 données clients.
Orange confirme aujourd’hui l’attaque et a prévenu les victimes. Les données concerne des personnes inscrites à l’espace « Mobilité » d’Orange Business (clients et prospects) et sont constituées uniquement des adresses mails dans 90% des cas. Pour les 10% restants, il s’agit des noms, prénoms et fonctions.
Le courrier, dont NextInpact s’est procuré une copie fait état :
« qu’un accès illégitime s’est produit récemment sur un fichier de personnes inscrites à la newsletter business news mobile destinée à des clients et prospects entreprises et professionnelles. Cet accès a entraîné la copie d’un nombre limité de données personnelles concernant ces clients et prospects […] Le site de télémarketing qui contenait le fichier, et qui était hébergé chez un sous-traitant, a immédiatement été fermé, rendant impossible tout nouvel accès illégitime à ces données ».
Rappelons qu’Orange avait été victime de deux fuites de données personnelles en 2014 (dont une de 1,3 millions de clients). Ce qui lui avait notamment valu un avertissement public de la part de la CNIL pour les lacunes que présente son système de sécurité.