Trois opérateurs virtuels, Carrefour Mobile, Undo et Neibo, signalent que des données clients ont été divulguées. La cause en incombe à Effortel, la plateforme utilisée par les trois acteurs.
Fin avril, Carrefour confirmait que les données de 64.000 clients de Carrefour Mobile avaient fuité. Neibo, un autre opérateur de réseau virtuel (MVNO), a également fait une annonce similaire cette semaine. Le nom, la date de naissance, l’adresse e-mail, le numéro de téléphone, l’adresse physique, le numéro de TVA, la langue, le numéro d’abonnement et les données d’identification techniques telles que le numéro de carte SIM sont ainsi tombés entre les mains de personnes non autorisées. Les coordonnées bancaires, les mots de passe et le compte chez Neibo n’ont pas été affectés par la fuite de données.
Undo, un opérateur virtuel d’Effortel même, avait aussi signalé il y a deux semaines une fuite de données par laquelle les mêmes données clients, y compris les données d’identification technique telles que le numéro de carte SIM (IMSI), avaient été divulguées.
Piratage via le portail d’assistance
Tant Carrefour Mobile que Neibo utilisent tous deux la plateforme d’Effortel pour la gestion technique de leurs activités télécoms. Effortel confirme à Data News qu’un piratage a eu lieu via son portail de support.
La fuite de données s’est limitée aux trois fournisseurs mentionnés ci-dessus: Carrefour Mobile, Neibo et Undo. Carrefour dispose du plus grand ensemble de données avec 64.000 clients. Les deux autres représentent ensemble quelque dix mille clients. Il ne s’agit pas de l’ensemble de la clientèle de Carrefour Mobile.
Laurent Bataille, general manager d’Effortel et d’Undo, signale que la fuite s’est produite lors d’une phase de test de l’implémentation d’une base de données centrale imposée par le régulateur des télécoms IBPT. ‘Nous devons dans ce cadre transférer certaines données clients dans le système, par exemple pour les services d’urgence’, explique-t-il.
‘Pour cette intégration, nous avons effectué des tests et généré des fichiers avec des données clients qui ont malheureusement fuité. Un pirate a réussi à accéder à ces fichiers via le portail de support entre les MVNO et Telfort.’
La fuite de données remonte à la mi-avril et c’est alors que l’Autorité de protection des données en a été avertie. Les données clients datent de plusieurs mois. Toute personne devenue client très récemment ne devrait normalement pas avoir été affectée. Carrefour utilise le réseau Telenet, alors qu’Undo et Neibo exploitent celui d’Orange Belgium, mais l’incident n’a rien à voir avec les réseaux de Telenet et d’Orange.
On ne sait pas non plus exactement quelles informations d’identité ont été divulguées. ‘60 à 65 pour cent des clients finaux confirment leur identité via un paiement en ligne. Aucune information d’identité n’a donc été conservée à leur sujet. ‘Il y a bien un identifiant de paiement, mais ce sont des chiffres qui ne peuvent être liés à des données personnelles que via le fournisseur de paiement’, nuance Bataille.
Que fait Effortel?
Effortel est un mobile virtual network enabler (MVNE) belge. Il propose des outils de facturation et de gestion des clients, entre autres, lesquels constituent l’interface technique entre les réseaux physiques de Proximus, Telenet/Base ou Orange, par exemple, et un opérateur de réseau virtuel (MVNO) tel que Carrefour Mobile. Leur rôle permet à une marque de démarrer sans grande expertise technique ou développements propres en tant qu’opérateur virtuel sur le réseau d’un opérateur télécom.
A l’entendre, Effortel fournit actuellement des services à plus de trente MVNO sur huit réseaux mobiles dans plusieurs pays. L’entreprise a démarré en 2006 en tant que MVNO pour le groupe international Carrefour et propose des services MVNE pour les opérateurs de réseaux virtuels depuis 2008. Depuis 2023, elle dispose également de son propre MVNO, Undo Mobile.
En 2019, l’entreprise comptait près de 5 millions de clients en tout, selon un communiqué, bien qu’ils soient principalement situés hors de Belgique et ne soient clairement pas impliqués dans l’incident. A l’époque, Effortel avait indiqué qu’elle fournissait des services à 11 MVNO dans des pays comme la Belgique, la Pologne, Oman, l’Azerbaïdjan, l’Italie, Taïwan, le Kenya et la Russie.
Mise à jour 13/5/2025, 13.30 heure :
Le propre MVNO d’Effortel, Undo, a également subi une fuite de données, il y a deux semaines. L’article a été modifié en conséquence.
Mise à jour 14/05/2025:
L’article a été complété par une réponse d’Effortel.
Lisez aussi: Des données clients de Carrefour Mobile divulguées