Les données d'environ 800'000 clients de Swisscom ont été volées l'automne dernier. Des informations considérées comme «pas particulièrement sensibles» par l'opérateur, qui a toutefois décidé de renforcer ses mesures de sécurité.

«A l'automne 2017, des inconnus ont subtilisé les droits d'accès d'un partenaire de distribution afin d'accéder de façon abusive au nom, à l'adresse, au numéro de téléphone et à la date de naissance de clients», a reconnu mercredi Swisscom dans un communiqué, en marge de la publication de ses résultats annuels.

Le géant bleu a tenu à préciser que son système n'avait pas été piraté dans cette affaire et qu'aucune donnée sensible (mots de passe, informations bancaires) n'avait été subtilisée. «Pour ce type d'informations, des mécanismes de protection très stricts sont en place depuis longtemps», a-t-il relevé.

Malgré tout, et même si la plupart des données volées sont accessibles publiquement ou figurent dans l'annuaire, leur subtilisation a déclenché «un examen interne complet», a assuré l'opérateur de télécommunications semi-public. «En guise de mesure immédiate, les accès de la société partenaire concernée ont été bloqués», a-t-il précisé, sans dire auprès de quel partenaire le vol s'était produit.

Sécurité renforcée

Pour empêcher que de telles situations se reproduisent, Swisscom a décidé de mieux surveiller les accès par des entreprises partenaires. «En cas d'activités inhabituelles, une alarme se déclenche automatiquement et les accès sont bloqués», a expliqué l'opérateur.

Parmi les autres nouvelles mesures de sécurité, il est désormais impossible, sur le plan technique, de consulter d'importants volumes de données clients. Une authentification «à double facteur» a aussi été mise en place pour les partenaires de distribution qui souhaitent accéder à ce type d'informations.

«Ces premières mesures garantissent qu'un tel incident ne puisse se reproduire», a affirmé Swisscom, qui a ajouté qu'il examinait tous les recours juridiques possibles et qu'il se réservait le droit d'engager des poursuites pour les auteurs du vol.

Assistance

Selon Swisscom, les conséquences devraient rester faibles pour les clients. Aucune recrudescence des appels publicitaires n'a, par exemple, été constatée.

Par souci de transparence, les abonnés mobiles de l'opérateur peuvent toutefois être informés si leurs données ont été volées. Pour cela, il leur suffit d'envoyer un message avec le mot-clé «Info» au numéro 444, a expliqué Swisscom, qui a incité ses clients à se signaler en cas d'appels inconnus à répétition.

Législation insuffisante

A la suite du vol, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a été informé. Celui-ci a dit «saluer» les mesures entreprises par Swisscom, notamment pour informer les clients concernés. «Sur la base des éléments actuels, il n'existe pas de raison de prendre des mesures formelles», a estimé le PFPDT dans son propre communiqué.

Du côté des consommateurs, la Fondation alémanique SKS s'est insurgée contre ce «gigantesque vol de données» chez Swisscom. «C'est un nouvel exemple que la législation actuelle en matière de protection des données personnelles n'est pas suffisante», a-t-elle écrit dans un communiqué.

ats