Fuite des données chez sfr

Bonjour @francisne01 

---

Comment mes données personnelles se retrouvent sur le Darknet je demande des explications avant la phase juridique suivi d'une résiliation sans frais 

---

1. As-tu constaté toi-même que tes données personnelles sont sur le Dark net ?
2. Ou bien fais-tu allusions aux multiples reprises dans les articles du web de ce genre d'affirmations : https://www.phonandroid.com/14-million-de-donnees-clients-sfr-ont-fuite-sur-le-dark-web-les-votres-e...

Si c'est le deuxième cas, on n'a aucune déclaration officielle à ce jour vu que c'est encore en cours d'investigation par les gens qui ne font pas que du journalisme... Appramment le croisement de plusieurs de ces articles parlent

• d'une hackeuse au Nigéria sous le pseudo "KevAdams" qui vendrait ces données (1 445 683 lignes de données personnelles exactement)
• et que l'information a juste été révélée sur X-twitter par Saax (un expert cyber)

On n'en sait pas plus sur la nature réelle des données (bidonnées ? anciennes et déjà fuîtées depuis longtemps ? nouvelle fuite ?. Personnellement je ne sais pas si c'est vrai, as-tu d'autres sources plus formelles ?

Je serai curieux de voir ce que déclarera SFR à la presse quand, comme souvent dans ces affaires d'énormes fuites, il y a une communiqué de presse final après enquête/investigation interne de la société "piratée".

à+

P.S. En revanche, impossible pour moi en tant que client sur un forum d'entraide entre clients de te donner des "explications" qu'au mieux il faudrait être chez SFR pour peut-être connaître.

Mais je ne suis pas sûr non plus que SFR te "donne des explications" personnellement sur ce point ici, puisque c'est avant tout un forum d'entraide entre clients.

Bonjour @francisne01 et bienvenue sur la Communauté SFR. 🙂

Je vous ai envoyé un message privé. Pour le consulter, cliquez sur votre profil (en haut à droite où est affiché votre pseudo) puis suivez Ma Messagerie.

Bien à vous,

Nous avons la fibre et 2 lignes mobiles chez Red de SFR. Nous sommes très prudents avec nos données et nous sommes sur listes rouges Bloctel etc. pour ne pas être dérangés par des appels indésirables. Cela a fonctionné très bien jusqu’au mois de juin où nous nous sommes mis à recevoir quasiment chaque jour sur nos 3 lignes des appels provenant à chaque fois de numéros commençant par les fameux préfixes réservés aux appels commerciaux. Si l’on répondait on tombait sur quelqu’un qui connaît nos noms prénoms et se présente comme étant mandaté par SFR pour nous proposer la fibre. Au début nous répondions que nous l’avions. De guerre lasse nous avons contacté le tchat de Red pour demander que ces propositions cessent. Finalement en insistant nous avons eu un conseiller qui nous a dit que ces appels étaient des tentatives d’**bleep**. Le lendemain nous découvrons dans la presse que les données de certains clients de SFR sont sur le darknet. Nous sommes très surpris et mécontents de constater que SFR n’a fait aucune communication auprès de ses clients afin de les mettre en garde. Visiblement ils semblent considérer que si nos données bancaires ne sont pas captées, ce n’est pas grave. Existe t’il une solution autre que changer de numéros de téléphones pour ne pas être harcelé ? Est-ce que l’adresse mail qui nous sert d’identifiant a été également piraté ? Mystère…

Bonjour @anniese05 

nous découvrons dans la presse que les données de certains clients de SFR sont sur le darknet. 

---

Attention (même si tout cela est peut-être 100% vrai) comme dit plus haut, actuellement sur cette nouvelle :

• il y a une UNIQUE source : le tweet d'un spécialiste de Cybersécurité (surnommé Saax) qui dit qu'une unique hackeuse du Nigéria surnommé KevAdams propose plus d'1,4 millions de lignes de données personnelles de clients SFR
• et c'est uniquement cette source-là qui est relayée à l'identique par de nombreux sites web d'infos (et comme tu l'auras remarqué pas du tout relayée dans les médias "nationaux"... Leur prudence devrait peut-être éveiller la même prudence chez nous).

=> donc, actuellement, le conditionnel devrait être de rigueur (et certains articles ont le bon goût de garder cela au conditionnel contrairement à d'autres) et effectivement, comme toi, j'attends avec impatience que l'enseigne potentiellement "piratée" fasse un communiqué de presse (sans doute après investigations de sa part) comme c'est très souvent le cas lors d'affaire d'une telle ampleur.

---

Nous sommes très surpris et mécontents de constater que SFR n’a fait aucune communication auprès de ses clients afin de les mettre en garde. 

---

• Des mises en gardes de "prévention" avant : je ne sais pas si RED en fait, mais côté SFR il y en a de temps à autres (comme les banques ou autres organismes) via divers moyens comme le mail ou les notifications pour essayer de sensibiliser contre les arnaques.
• Une "mise en garde" à propos de cette affaire en particulier, càd une communication officielle : là, comme dit au-dessus je pense personnellement qu'ils sont sûrement en train de creuser, de voir ce qui est vrai, et de préparer la communication qui s'en trouverait adaptée (simple avis de ma part)

---

Est-ce que l’adresse mail qui nous sert d’identifiant a été également piraté ? Mystère…

---

Non ce n'est pas un mystère du tout si tu fais confiance à ces publications en les lisant, car outre affirmer qu'il y a une fuite, elles affirment aussi que les mails n'y sont pas. Donc si on leur fait confiance, autant aller jusqu'au bout et par exemple le lien déjà donné plus haut affirme que la fuite contient uniquement :

• Nom
• Prénom
• Numéro de téléphone fixe
• Adresse postale incomplète
• Coordonnées géographiques (latitude et longitude)
• Date de naissance

---

Visiblement ils semblent considérer que si nos données bancaires ne sont pas captées, ce n’est pas grave. 

---

Ton affirmation a sans doute du vrai, bien vu.

Non seulement je ne suis pas loin de le penser comme toi, mais de plus je ne suis pas loin non plus de penser que SFR a raison de penser comme cela (même si c'est très "politiquement incorrect").

Je m'explique :

• les 6 données plus haut sont en général des données que quelqu'un (un annonceur, un arnaquer, etc.) peut très facilement acheter auprès d'entreprise dont c'est le job de les collecter (et surtout les croiser) via différents moyens
• un reportage de Cash Investigation sur France 2 faisait une "vulgarisation" de cet état de fait qui en a surpris plus d'un (je crois que c'est celui du lien ICI si ça t"intéresse d'en prendre connaissance) démontrant à son public que par exemple acheter les numéros perso d'une personne, son opérateur, son nombre d'enfant, le tel de son conjoint, sa date de naissance etc. c'était largement possible ! 

Bref, moi je suis fataliste et je pense en effet qu'à l'heure des GAFAM comme l'exemple n° 1 Google, ces données personnelles qui seraient exposées là dans cette affaire (à vérifier), sont déjà en général des données commercialisées ailleurs à mon sens... C'est un marché... Et il est très prolifique puisque il a plein de "débouchés" (certains assez honnêtes comme le marketing ciblé, et parfois moins honnête en contactant des gens qui y sont pourtant opposés... et des pas honnêtes du tout comme des arnaques).

---

Existe t’il une solution autre que changer de numéros de téléphones pour ne pas être harcelé ? 

---

Pour te protéger de ce marché de revente de tes informations personnelles (de ton n° de tel perso, voire sur liste rouge, à ta date de naissance) je pense que tu ne peux plus trop rien faire je pense (fataliste je reste). Je crois que le mal est déjà fait pour toi et moi et nos contemporains. (lire plus bas)

Pour te protéger d'appels incessants provenant VRAIMENT de ton opérateur SFR (qui te lassent et t'importunent) là normalement tu as un moyen dans ton espace client SFR => il m'a suffit d'aller décocher tous les moyens de contacts de marketing et autres (tél, SMS, mails) dans mon compte client mobile SFR pour ne jamais être appelé de la sorte depuis plusieurs années. (j'espère pour toi que RED procède de même).

---

Nous sommes très prudents avec nos données et nous sommes sur listes rouges Bloctel etc. pour ne pas être dérangés par des appels indésirables. 

---

C'est bien d'essayer d'être prudent. Et d'ailleurs c'est le premier des conseils des quelques minutes de "débriefing / questions" qui a suivi le reportage plus haut (c'est intéressant ces questions et ces conseils, voir ICI).

Quelques remarques à propos de ce que tu exprimes :

• Hélas le mécanisme "bloctel", ou même tout simplement l'inscription en tant "qu'opposé au démarchage téléphonique" sur l'annuaire universel (j'ai fait les 2) n'a strictement jamais empêché d'être démarché par des plateaux téléphoniques quand même : notamment parce que bon nombre d'entre eux sont en sous-traitance à l'étranger (moins cher, comme l'est le plateau téléphonique du SAV de SFR en Afrique du Nord) et qui donc ne craignent en rien les lois françaises dont ils peuvent absuser sans vergogne.
• De plus, bloctel ne concerne plus un commerçant dont tu es le client qui a lui, le droit de te contacter et abuse parfois de ce droit (car il ne doit pas non plus te harceler évidemment dans sa relation commerçant-client).
• De même la liste rouge ne t'efface que de l'annuaire universel (et ses dérivés) : ça n'empêche pas de t'appeler quand le numéro est éventé, et comme je te le décrit dans le point suivant, ce côté "éventé" arrive hélas très facilement et très vite, malgré toute prudence.

Enfin, parmi les gestes de "prudence" à généraliser il y a par exemple (le 1er évoqué dans cette vidéo débriefing) le fait de refuser SYSTÉMATIQUEMENT l'accès à tes contacts à toute application (réseau sociaux, etc.) : or, pour que cela fonctionne, cela dépend de ta propre prudence, mais celle de l'intégralité de tous tes contacts (parents, enfants, proches, amis, travail, etc.) Car par exemple pour WhatsApp (pris au hasard) il suffit que toi personnellement, ou quelqu'un de tes proches qui a ton numéro "perso" dans ses contacts ait "oublié" de refuser l'accès aux carnet d'adresses pour que le lien soit fait entre ton nom et ton numéro chez ce GAFAM (WhatsApp c'est Facebook hein, ils revendent et vivent du marketing ciblé, donc des données personnelles). Et idem pour ta date de naissance, ton adresse mail, ton adresse postale : il suffit qu'UNE personne que tu connais l'ait dans ses fiches contact et ne les a pas bloquées pour WhatsApp pour que ça soit éventé et croisé (sans doute définitivement). Et idem évidemment pour les autres applications qui "accèdent" à tes contacts (WhatsApp n'est qu'un exemple parmi d'autres). Bref il suffit d'un trou dans les mailles, et l'info s'échappe.

Oui, comme dit au-dessus, voilà pourquoi je suis fataliste 😎

Mais je trouve toujours ce sujet très intéressant et suis tout à fait disposé à en parler avec et croiser nos opinions.

à+

Merci pour cette réponse bien étayée et argumentée.

Je peux ajouter que s’il y a eu une fuite des données clients de SFR, ce sont bien sur les numéros de fixe ET sur le numéros de mobile. Tout simplement parce que lorsque je reçois un appel depuis un de ces fameux numéros aux préfixes de type démarchage (0162-0163-0267-0270-0271-0377-0378-424-0425-0568-0569-0948-0949 et qq autres) sur mon fixe, je ne décroche pas, immédiatement après mon mobile sonne aussi depuis un autre numéro mais toujours au préfixe incriminé, je ne réponds également pas. Ensuite je rappelle les 2 numéros en question (en masquant le mien bien sûr) et j’aboutis sur le même répondeur qui me dit : « Red de SFR, tous ne conseillers sont occupés, veuillez rappeler plus tard ».

Sinon, je n’étais jamais dérangée par des appels commerciaux de RED puisque j’avais bien tout interdit dans mon espace client.

Maintenant, j’ai bloqué sur mon mobile les appels qui ne proviennent pas de mes contacts, et sur mon fixe, faute de pouvoir bloquer, je ne réponds qu’aux numéros connus. J’espère que les arnaqueurs se lasseront avant moi…

Bonjour @anniese05 

---

Je peux ajouter que s’il y a eu une fuite des données clients de SFR, ce sont bien sur les numéros de fixe ET sur le numéros de mobile. 

---

Dans le cadre d'une autre fuite, pourquoi pas, tu n'es d'ailleurs pas la première à le faire remarquer.

Dans le cadre de cette fuite, la seule description qui en a été faite (donc bien peu d'informations pour l'instant c'est pourquoi je continuais au conditionnel) serait SANS numéros de mobiles.

En revanche, comme je te l'ai développé, on peut aisément parier (vu notamment le reportage dont je te parlais) que ton numéro mobile et ton numéro fixe sont déjà connu et croisés par de nombreux services d'agrégation de données personnelles dont c'est le métier. Je n'en serai pas surpris du tout.

---

Tout simplement parce que lorsque je reçois un appel depuis un de ces fameux numéros aux préfixes de type démarchage (0162-0163-0267-0270-0271-0377-0378-424-0425-0568-0569-0948-0949 et qq autres) sur mon fixe, je ne décroche pas, immédiatement après mon mobile sonne aussi depuis un autre numéro mais toujours au préfixe incriminé, je ne réponds également pas. Ensuite je rappelle les 2 numéros en question (en masquant le mien bien sûr) et j’aboutis sur le même répondeur qui me dit : « Red de SFR, tous ne conseillers sont occupés, veuillez rappeler plus tard ».

---

Ça, ça ne ressemble pas à une fuite mais plutôt à "vraiment" un plateau d'appel (sous-traitant ou non) travaillant pour SFR ? Pas besoin de fuite alors pour avoir tes 2 numéros je pense...

Du coup là, on est dans la 2e catégorie qu'on évoquait aussi : ta propre enseigne qui te contacte, voire te contacte "beaucoup trop", en possédant tes coordonnées personnelles (sans fuite). C'est un autre problème. Mais qui peut être agaçant aussi. (et donc je ne serai pas surpris qu'il déborde du droit à contacter un de ses client même inscrit sur bloctel, vu que la on sort de la simple relation de clientèle pour basculer dans de la vente).

---

Sinon, je n’étais jamais dérangée par des appels commerciaux de RED puisque j’avais bien tout interdit dans mon espace client.

---

Mais si RED t'appelle quand même (comme tu viens de le décrire au-dessus) malgré ces réglages de refuse : veux-tu dire que maintenant, chez RED, ils s'en fichent des réglages des préférences du client ?

Pour ma part de client SFR, comme dit, je n'ai pas touché à mes réglages et ça reste opérationnel : SFR ne m'a pratiquement jamais démarché depuis des années. (pourtant je n'ai pas la fibre !!!)

---

j’ai bloqué sur mon mobile les appels qui ne proviennent pas de mes contacts, et sur mon fixe, faute de pouvoir bloquer, je ne réponds qu’aux numéros connus. J’espère que les arnaqueurs se lasseront avant moi…

---

Oui, c'est ce manque de configuration possible sur la ligne fixe qui est souvent regretté et forme une suggestion attendue souvent soumise à SFR (ICI par exemple). Tu pourras aller y soutenir l'idée et faire grossir le nombre de ceux qui expriment leur intérêt pour l'avoir.

À+

Bonjour @anniese05 ,

J'ajouterais que SFR est tenue d'avertir la CNIL dans les 72 heures après la confirmation d'une fuite de données personnelles.

Ensuite SFR devrait avertir les clients potentiellement touchés.

--> https://www.cnil.fr/fr/violations-de-donnees-personnelles-les-regles-suivre

Je suis du même avis que @Ryry , tous les articles sur ce sujet sont au conditionnel (donc à prendre avec des pincettes) et quelques sites qui, en général, vérifient les infos n'en n'ont pas encore parlé.

Vous pouvez vérifier si votre adresse mail a fait l'objet d'une fuite de données.  (à vos risques et périls, bien que ce site a plutôt bonne réputation)

--> https://haveibeenpwned.com/

La mienne par exemple à fuité en 2012, 2016, 2020 à partir de sites sur lesquels je suis inscrit (sauf le dernier, je ne sais pas d'où il sort)