Révélations: Les données de 800’000 clients de Swisscom volées en Tunisie
Publié

RévélationsLes données de 800’000 clients de Swisscom volées en Tunisie

Swisscom voulait garder secret le vol de données de l’automne 2017. Des recherches montrent maintenant qu’une société de marketing en Tunisie a eu accès aux données des clients suisses. Swisscom nie avoir eu connaissance de ces faits.

Une sécurisation inadéquate: des droits d’accès d’une entreprise partenaire ont été utilisés en automne 2017 pour voler des données de 800’000 clients de Swisscom.

Une sécurisation inadéquate: des droits d’accès d’une entreprise partenaire ont été utilisés en automne 2017 pour voler des données de 800’000 clients de Swisscom.

20min/Simon Glauser

Swisscom était conscient du caractère explosif du document «Data loss through unlawful activities» (ndlr: «Perte de données due à des activités illégales»), qui était classé «secret». De quoi s’agit-il? En automne 2017, les données d’environ 800’000 clients de Swisscom ont été volées chez un partenaire de Swisscom. Selon la loi sur la protection des données, des informations «ne nécessitant pas de protection particulière» telles que le nom, le numéro de téléphone, l’adresse et la date de naissance ont été volées. À la fin du document secret, Swisscom écrit sous la rubrique «Conclusion et étapes ultérieures» qu’il n’entend n’en informer ni les personnes concernées ni le public.

En février 2018, soit trois bons mois après que Swisscom a eu connaissance du vol, l’entreprise en a effectivement informé le public. Le géant des télécommunications a précisé qu’il s’agissait de données que les gens fournissent souvent volontairement dans les annuaires téléphoniques, sur les médias sociaux ou lors de concours. Mais le contexte du vol de données était resté dans l’ombre. Or des recherches menées par «20 Minuten» montrent que le vol a eu lieu en Tunisie. Mais comment les données de clients suisses ont-elles pu se retrouver en Afrique du Nord?

Transferts nocturnes

La raison est un partenariat entre Swisscom et deux sous-traitants. L’une de ces sociétés a transmis sans autorisation certains de ses logins à une firme suisse de télémarketing afin de contacter des clients de Swisscom à des fins de marketing. Elle a à son tour transmis les données de connexion à une société de marketing tunisienne. En Tunisie, l’accès aux données des clients de Swisscom a été soit piraté, soit transmis par des employés du sous-traitant, selon les documents que «20 Minuten» a pu consulter en vertu de la loi sur les archives publiques. Quatre logins ont été utilisés pour voler l’ensemble des données.

Les requêtes abusives dans le système ont commencé à la fin du mois d’août 2017 et ont été effectuées chaque nuit via un serveur situé en France. Jusqu’à 100’000 requêtes ont été effectuées par nuit. En raison de leur nombre élevé, Swisscom soupçonne qu’elles ont été automatisées. Cette description ressort d’un mémo du préposé fédéral à la protection des données et à la transparence (PFPDT), Adrian Lobsiger. Il a été informé de la fuite de données par Swisscom fin décembre 2017 et a été en contact avec le géant bleu.

Swisscom était au courant

Selon les notes du PFPDT sur la conversation, Swisscom était au courant que son partenaire collaborait avec un sous-traitant en Tunisie. «Par conséquent, Swisscom savait également que des données seraient transmises à la Tunisie.» Ce fait est nié par l’entreprise de télécommunication. «Swisscom ne savait pas, dans le cadre de la coopération, que des données ou des logins de clients étaient transmis à la Tunisie. Ce ne serait absolument pas conforme au contrat et le traitement des données à l’étranger est interdit», souligne une porte-parole de l’entreprise. En outre, les mémos du PFPDT étaient des notes et non des faits vérifiés. Entre-temps, Swisscom a mis fin à sa collaboration avec le partenaire en question.

Par ailleurs, le PFPDT relève dans ses notes que le contrat entre Swisscom et son partenaire suisse ne contenait aucun accord concernant la sous-traitance ou le transfert de données vers la Tunisie. «Le transfert de données n’était donc ni autorisé ni interdit», a déclaré Adrian Lobsiger, pour qui il s’agissait d’un traitement de données contractuelles. «La démarche de Swisscom était donc autorisée par la loi sur la protection des données, même sans que le consentement du client aille au-delà.» Cependant, Swisscom est responsable de toutes les violations de données vis-à-vis de ses clients, a-t-il ajouté.

Bataille pour l’accès aux documents

Après que le vol de données a été connu, «20 Minuten» a demandé au PFPDT d’avoir accès aux documents. Ce dernier a donné son accord de principe, car il existe un intérêt particulier pour l’information du public et qu’il s’agit d’un incident important. De son côté, Swisscom a tenté d’empêcher la diffusion du fichier en engageant une action en justice jusqu’au Tribunal fédéral. Dans sa plainte, la société a fait référence à des secrets d’affaires ou à des risques de réputation qui découleraient de la publication.

Demande de transparence

Selon les documents obtenus par «20 Minuten», le PFPDT a recommandé à plusieurs reprises à Swisscom d’informer les personnes concernées par le vol de données. En outre, Adrian Lobsiger a expliqué que les dommages en termes de confiance envers Swisscom seraient beaucoup plus importants si Swisscom ne communiquait pas et que l’incident devenait public. «Dans le cadre de notre mandat de surveillance, nous avons fait remarquer à Swisscom que la loi sur la protection des données donne aux clients le droit d’être informés de manière transparente de ce qu’il est advenu de leurs données», a déclaré Adrian Lobsiger.

Finalement, les dirigeants de Swisscom ont été convaincus par les arguments d’Adrian Lobsiger et ils ont décidé d’informer le public. La société a tenu à souligner que le système n’avait pas été piraté et que la sécurité des données des clients avait été renforcée. L’accès des entreprises partenaires sera désormais surveillé de plus près et une alarme sera déclenchée en cas d’activités inhabituelles. Swisscom a également déclaré qu’elle n’avait pas constaté d’augmentation des appels publicitaires ou d’autres activités au détriment des clients concernés.

Ce que dit Swisscom

«Le traitement des données à l’étranger était et est interdit»

Swisscom était-il au courant que des données de clients étaient transférées en Tunisie ou y étaient traitées via le sous-traitant de l’entreprise partenaire basée à Genève?
Nous avons informé, lors d’une conférence de presse, que les données avaient été consultées via une adresse IP française. Pour des raisons d’enquête, nous n’avons pas mentionné l’autre lien avec la Tunisie. Nous avons déposé une plainte pénale auprès du Ministère public de la Confédération à Berne.

Que savait Swisscom en particulier?
Le partenaire commercial a transmis certains de ses logins à une société de télémarketing basée en Suisse, à l’insu de Swisscom et sans l’autorisation nécessaire, afin de contacter des clients existants de Swisscom à des fins de marketing. Cette société a transmis les données de connexion à une autre société de marketing en Tunisie. Selon nos informations, les logins ont été volés à la société de télémarketing en Tunisie.

Est-il encore possible aujourd’hui que des entreprises partenaires de Swisscom traitent des données à l’étranger?
Swisscom ne travaille pas avec des centres d'appels étrangers. Le traitement des données à l’étranger était et est interdit. Swisscom interdit également le transfert des données des clients en Suisse.

Pourquoi Swisscom n’a-t-il pas voulu, dans un premier temps, communiquer sur le vol de données?
Dans une première analyse, Swisscom est arrivé à la conclusion que, selon toute vraisemblance, aucun dommage ne serait causé aux clients et a d’abord envisagé différents scénarios de communication. À un stade ultérieur, il a été décidé d’informer activement et largement le public.

Un tel vol de données serait-il encore possible aujourd’hui?
Swisscom a renforcé ses mesures de sécurité. En particulier, une surveillance accrue des accès par les entreprises partenaires, un système d’alerte pour les activités suspectes et une authentification à deux niveaux ont été mis en place.

(sas/reg)

Ton opinion

213 commentaires
L'espace commentaires a été desactivé

Bernard0

09.04.2021, 19:31

N’importe quoi cette boîte de planqués. Par contre proposer des abonnements hors de prix et ne pas faire avancer la fibre optique ça ils savent bien faire. Je vais résilier tiens...

tiers monde

09.04.2021, 16:58

mais qui peut être encore intéressé aujourd' hui des données télécommunicationsd' un tiers monde comme la Suisse, il nous reste quelque montagne mais les banques sont dans d' autres îles

chrisjac

09.04.2021, 14:18

Tout va nous sauter à la figure. Nous sommes dans une folie numérique à tout va, sans plus aucun respect des personnes. Je parle là également de notre Confédération qui oblige plus que du numérique. Nous devons sévir car celui qui oblige doit réparer et dédommager et cela sans aucune réserve ou accord préalable qui ne sont qu'un alibi. Avec tous les recoupements faits, il sera possible de se faire passer pour VOUS et, cela sera naturellement à VOUS de prouver que vous n'avez rien fait de faux et de payer les pots cassés. IL N'Y A RIEN DE SÛR. A chaque fois qu'on vous le dit, on vous enfume. Un crash numérique - donc avec effet sur votre argent - est pronostiqué. C'est comme le Covid, il était pronostiqué mais aucun Etat n'y a cru. Devinez dans tout cela qui sera le dindon de la farce ?