Un hacker a pu pénétrer les systèmes d’Orange, dérobant ainsi des milliers de documents internes, comprenant des informations sur des utilisateurs et des employés. Orange a confirmé la cyberattaque après que le hacker a divulgué des détails sur les données volées sur un forum prisé par les pirates. L’attaque a eu lieu sur une application non critique de l’opérateur.
Des données sensibles compromises
Le hacker, qui se fait appeler Rey et qui est affilié au groupe de pirates HellCat spécialisé dans les ransomwares, précise que les données volées proviennent principalement de la branche roumaine d’Orange. Elles incluent 380 000 adresses e-mail uniques, du code source, des factures, des contrats ainsi que des informations concernant les clients et les employés. Orange France n’est pas concerné ici.
Rey a expliqué que cette intrusion n’était pas liée à une opération de ransomware menée par HellCat et qu’il avait eu accès aux systèmes d’Orange pendant plus d’un mois avant de lancer l’exfiltration des données. L’attaque a duré environ trois heures et Orange n’a rien remarqué.
Une faille dans les systèmes internes d’Orange
Les informations publiées par le hacker montrent notamment des adresses e-mail d’employés passés et actuels d’Orange Roumanie, de partenaires et de sous-traitants, ainsi que des détails partiels concernant des cartes bancaires de clients roumains. Certaines données sont anciennes, notamment des adresses e-mail utilisées par des personnes ayant travaillé ou collaboré avec Orange Roumanie il y a plus de cinq ans.
Le pirate dit avoir volé près de 12 000 fichiers, pour un poids total de 6,5 Go, en exploitant des identifiants compromis et des vulnérabilités dans le logiciel Jira d’Orange, utilisé pour le suivi des bugs et des problèmes internes. Rey a également déposé une note de rançon sur le système compromis, mais l’entreprise n’a pas entamé de négociations.
Dans un communiqué, un porte-parole d’Orange a déclaré à BleepingComputer :
Orange peut confirmer que nos opérations en Roumanie ont été la cible d’une cyberattaque. Nous avons pris des mesures immédiates et notre priorité absolue reste la protection des données et des intérêts de nos employés, de nos clients et de nos partenaires. Il n’y a pas eu d’impact sur les opérations des clients et la violation s’est produite sur une application de back-office non critique. Les équipes de cybersécurité et d’informatique travaillent d’arrache-pied pour évaluer l’étendue de la violation et minimiser l’impact de cet incident. Nous nous engageons à fournir des mises à jour régulières. En outre, nous nous engageons à respecter toutes les obligations légales associées à de tels incidents et nous coopérons avec les autorités compétentes pour résoudre ce problème.
