L’information était passée (relativement) inaperçue, et pourtant au mois de mars de cette année, Orange s’est bel et bien fait dérober des informations personnelles d’environ 1,3 millions de ses abonnés. L’opérateur s’était empressé d’informer les « victimes » de ce piratage massif, mais le mal était malheureusement déjà fait. Face à cette énorme faille dans la sécurité des serveurs d’Orange, la CNIL avait lancé une enquête sur les conditions de sécurité prévalant au moment des faits, une enquête dont le rapport final vient d’être publié…et qui étrille littéralement l’opérateur concernant la (mauvaise) protection des données de ses abonnés.
Pêle-mêle, il est reproché à Orange de ne pas avoir réalisé « d’audit de sécurité avant d’utiliser la solution technique de son prestataire pour l’envoi de campagnes d’emailing alors que cette mesure lui aurait permis d’identifier la faille de sécurité« , ou bien encore d’avoir envoyé « de manière non sécurisée à ses prestataires les mises à jour de ses fichiers clients et qu’aucune clause de sécurité et de confidentialité des données n’avait été imposée à son prestataire« .
En conséquence de ces graves manquements, la Cnil a décidé de réprimander Orange d’un simple avertissement public, ce qui ne coûte pas grand chose mais nuira sans doute un peu à l’image de marque du premier opérateur national.
