« Gérer les interventions de raccordement »

SFR alerte depuis mercredi certains de ses clients au sujet d’un accès non autorisé à l’un de ses outils informatiques ayant permis l’export de données personnelles. L’opérateur indique que cet outil est lié aux interventions de raccordement fibre, mais ne précise pas le volume de clients concernés.

Le sujet du mail annonce la couleur : « Information importante concernant vos données personnelles ». Depuis mercredi, l’opérateur SFR informe certains de ses clients d’un accès non autorisé survenu au niveau de l’un de ses systèmes informatiques.

État civil et coordonnées exposés

L’intrusion aurait permis d’accéder aux informations relatives à l’identité du détenteur du compte ainsi qu’à ses coordonnées, sans qu’on sache à ce stade si des données ont été téléchargées :

« Les données personnelles suivantes ont pu être concernées par cet incident : votre nom, prénom, adresse électronique, adresse postale, numéro de téléphone de contact, ainsi que certaines données
d’identification (référence client, identifiant, mot de passe de première connexion au Compte Client généré automatiquement par SFR). »

Confirmée mercredi 17 décembre par l’opérateur aux Échos, l’intrusion aurait été circonscrite : « Grâce à la mobilisation rapide de nos équipes internes, l’incident a pu être maîtrisé et rapidement clos ».

Dans son courrier, l’opérateur précise que l’accès non autorisé a concerné un outil « utilisé pour
gérer les interventions de raccordement de nos clients sur le réseau fixe ».

Un échantillon intrigant

S’agit-il d’un pot de miel opportuniste destiné à piéger des pirates en herbe ou des conséquences de cette fuite ? Sur le tristement célèbre Breachforums, dont une émanation a repris du service depuis quelques jours, un internaute affirme détenir un fichier de 17,4 millions de lignes émanant de SFR. La présentation qui en est faite liste des variables dont certaines évoquent directement des paramètres liés à une opération de raccordement chez un particulier.

L’auteur affirme avoir décidé de proposer son fichier à la vente faute d’avoir pu négocier les conditions d’une rançon auprès de SFR. L’échantillon mis à disposition, que nous n’avons pas pu directement contrôler, laisse imaginer une extraction issue d’un logiciel métier utilisée par les équipes terrain en charge des raccordements.

Les opérateurs toujours dans le viseur des pirates

SFR avait déjà connu une fin d’année mouvementée sur le plan des données personnelles fin 2024, période où Free avait lui aussi fait l’objet d’un vol à rebondissements. Ce nouvel incident rappelle que les opérateurs constituent des cibles de choix pour les attaquants, du fait de leurs très importants parcs clients. Les acteurs plus confidentiels n’échappent cependant pas à la vague.

D’après nos informations, l’opérateur d’infrastructures Altitude Infra a lui aussi été récemment « victime d’un vol de données sur un extranet permettant d’échanger avec ses clients opérateurs ». L’incident, survenu le 1er décembre dernier, aurait permis d’accéder à des données personnelles de clients finaux.

« Les mesures de sécurité nécessaires pour prévenir tout nouvel accès frauduleux ont été immédiatement mises en place. Altitude Infra a déclaré l’incident à la CNIL, notifié l’ANSSI et porté plainte. Les équipes sont pleinement mobilisées pour accompagner ses clients concernés par ce vol », a déclaré Altitude Infra à Next vendredi.

Bis repetita

Deux dossiers très différents mais une issue commune : le tribunal judiciaire de Paris a rejeté vendredi les demandes de blocage provisoire formulées par l’État. Dans les deux cas, la justice a estimé que la mesure envisagée porterait une atteinte disproportionnée à la liberté d’expression dans le cas de Kick, et à la liberté d’entreprendre dans l’affaire Shein.

La mesure serait « disproportionnée » au regard de ventes problématiques qui restent « ponctuelles » chez Shein et contre lesquelles la plateforme chinoise aurait déjà pris des mesures, a estimé le tribunal judiciaire de Paris.

Suite à une audience organisée le 5 décembre dernier, il a de ce fait rejeté, dans une décision communiquée vendredi à l’AFP et partagée par notre confrère Marc Rees sur LinkedIn, la demande de suspension pour trois mois des activités de Shein en France, réclamée par le gouvernement.

Dans le même temps, il a tout de même fait injonction à Shein de ne pas reprendre la vente de « produits sexuels pouvant caractériser un contenu à caractère pornographique » avant la mise en place d’un dispositif de contrôle de l’âge.

Shein a déjà pris les mesures qui s’imposaient

Rappelons que suite au scandale des poupées enfantines à caractère sexuel référencées sur sa plateforme, Shein a pris la décision, début novembre, de suspendre les activités de sa marketplace en France. « Cette suspension nous permet de renforcer nos mécanismes de responsabilité et de garantir que chaque produit proposé respecte nos standards et nos obligations légales », avait déclaré un porte-parole.

Le géant chinois argue par ailleurs qu’il n’a pas vendu directement les produits concernés, puisque ces derniers passaient par sa place de marché, et qu’il est directement intervenu dès que le problème lui a été signalé.

Une défense jugée un peu légère par l’État français, qui a donc lancé plusieurs offensives, notamment judiciaires, à l’encontre de Shein. « Au regard des risques systémiques du fonctionnement et du modèle de Shein, l’État confirme sa demande de blocage du site pour une durée de 3 mois, ou a minima le maintien de la suspension de sa marketplace », résumait-il le 5 décembre dernier suite à l’audience.

Le ministère public avait de son côté prévenu fin novembre que la suspension pour trois mois risquait d’être considérée comme une mesure disproportionnée si aucune preuve de nouveau manquement n’était apportée.

Un avis suivi par la cour. Dans sa décision, le juge estime en effet que le blocage « porterait une atteinte injustifiée au droit à la liberté d’entreprendre », dans la mesure où « seuls certains produits de la marketplace » ont été identifiés comme illicites, sur un catalogue de plusieurs centaines de milliers d’articles.

« Si l’État français soutient que la mise en vente de ces produits est révélatrice d’un défaut systémique de contrôle, de surveillance et de régulation des produits proposés à la vente sur la plateforme, il échoue à en rapporter la preuve », note le tribunal.

Il profite enfin de sa décision pour affirmer, comme l’a souligné l’avocat Alexandre Archambault, que l’État fait fausse route en saisissant le tribunal judiciaire sur le fondement de la LCEN française, alors qu’il cherche à faire sanctionner de supposés manquements au DSA européen.

Kick maintenu, mais la chaîne de Jean Pormanove reste suspendue

Également diffusée par Marc Rees, la décision relative à la plateforme de streaming Kick suit sans surprise une logique similaire, même si cette fois c’est l’absence de modération de contenus considérés comme illicites qui est dénoncée.

Faute de preuve relative à de nouveaux manquements et compte tenu des mesures mises en place par la plateforme australienne, le tribunal rejette la demande principale de suspension de l’accès à Kick en France :

« Il n’est pas démontré que la plateforme opérée par la société Kick, qui n’est pas elle-même éditrice ou créatrice des contenus, serait dans son ensemble, par sa structure même et sa ligne éditoriale, porteuse, de manière systémique, de contenus dommageables ».

La donne est en revanche différente concernant le retour en ligne du canal par lequel diffusait le streamer décédé. « S’agissant de la salle officielle « Jean Pormanove », les éléments déjà énoncés quant aux contenus qui y ont été diffusés démontrent un dommage grave, qui serait nécessairement réactivé, si la réouverture de la salle permettait la rediffusion des anciens contenus », estime la cour.

La justice s’est en revanche prononcée ce même jour en faveur du blocage dans le cas du site Watchpeopledie.

Le Ministère des Sports, de la Jeunesse et de la Vie associative a reconnu vendredi avoir été victime d’une exfiltration de données au niveau de l’un de ses systèmes d’information.

« Dès la détection de l’incident, les équipes techniques spécialisées du ministère ont été mobilisées afin de vérifier la nature et l’ampleur des données concernées, et de mettre en œuvre les mesures de sécurité adaptées pour faire cesser toute fuite de données », assure l’institution, avant de préciser qu’elle remplira ses obligations réglementaires de signalement et de dépôt de plainte.

En attendant, « un travail est en cours afin d’informer, dans les meilleurs délais, les 3,5 millions de foyers concernés, et de leur partager les recommandations et consignes de sécurité à suivre », indique le ministère. S’il confirme le nombre de comptes exposés, il ne donne à ce stade aucune précision quant à la nature des données personnelles enregistrées dans le système concerné.

Cette reconnaissance de compromission constitue, quoi qu’il en soit, un nouveau rebondissement dans l’imbroglio qui se joue depuis quelques jours, entre pirates supposés et institutions publiques.

Comme nous le rapportions jeudi, un internaute surnommé Indra a affirmé mercredi disposer d’un fichier de 22 millions de lignes issu de la compromission d’une base de données associée à la Caisse d’allocations familiales, la CAF.

La CAF s’est elle aussi exprimée jeudi dans la journée, pour récuser toute intrusion dans ses systèmes.

« Les éléments diffusés par les pirates informatiques semblent provenir du système d’information d’autres services publics avec lesquels la Cnaf échange des données pour l’attribution de prestations ou services conditionnés par nos informations. Ces transmissions sont strictement encadrées par la loi et aucune atteinte technique à nos flux d’information n’a été constatée. »

Sur X, un commentateur de la scène cybersécurité, Christophe Boutry, s’était alors étonné de la nature du fichier présenté, et livrait une proposition d’analyse : le fichier aurait selon lui combiné quatre ans d’historiques, pendant lesquelles un même compte aurait pu faire l’objet d’enregistrements multiples.

Après déduplication, il suggérait que la base devait en réalité contenir 3,5 millions d’identifiants uniques, émanant de trois bases distinctes : la CAF, mais aussi la MSA (mutuelle agricole) et le CNOUS (action sociale étudiante). « Seul le dispositif Pass’Sport croise ces trois bases. De plus, chaque ligne possède un ID spécifique id_psp », estimait-il alors.

L’analyse et le volume évoqué, 3,5 millions de comptes, confèrent à cette hypothèse un caractère plausible, même si le scénario n’est pas confirmé à ce stade.

Le dispositif Pass’Sport « a permis à plus de 5,2 millions de jeunes de bénéficier d’un soutien financier pour accéder à une activité sportive encadrée » d’après le ministère des Sports.

La startup suédoise Lovable vient d’annoncer avoir réuni 330 millions de dollars auprès d’investisseurs, sur la base d’une capitalisation fixée à 6,6 milliards de dollars. L’opération intervient seulement cinq mois après la première grande levée de fonds de l’entreprise (série A), bouclée en juillet. Elle avait alors réuni 200 millions de dollars en se valorisant 1,8 milliard de dollars. Lovable a donc plus que triplé sa valeur aux yeux des investisseurs en à peine cinq mois.

L’opération annoncée jeudi est menée majoritairement par des fonds très présents dans la tech et dans la Silicon Valley, parmi lesquels Menlo Ventures (investisseur historique d’Anthropic ou d’Uber), CapitalG (Alphabet / Google) et d’autres véhicules financiers représentant des groupes tels que NVIDIA, Atlassian ou Databricks.

Pourquoi une telle traction ? Lovable, fondée en 2023 et basée à Stockholm, est l’étoile montante de ce qu’on appelle le vibe coding, c’est-à-dire le développement d’applications (web ou métiers) par l’intermédiaire d’interactions avec un agent conversationnel IA. La startup, qui vise des publics non techniques, se positionne comme un intermédiaire entre les solutions telles que Claude Code, Mistral Code ou les récents Devstral 2 et Antigravity, qui restent encore l’apanage des développeurs, et les outils issus de la tendance no-code, moins évolués au niveau fonctionnel.

« Nous avons lancé Lovable pour donner les moyens aux 99 % – ceux qui ont des idées mais qui n’ont pas les compétences techniques pour les concrétiser », vante l’entreprise. Elle revendique 100 000 nouveaux projets lancés sur sa plateforme chaque jour, 25 millions de projets créés au cours de sa première année d’activité, et affirme que les sites Web ou applications lancés par l’intermédiaire de ses services représentent une audience de plus de 200 millions de visites mensuelles. Lovable se targue par ailleurs de compter quelques clients de premier plan comme Zendesk, Uber, ou Deutsche Telekom.

La startup indique que les fonds levés lui serviront à développer les connecteurs nécessaires à son intégration dans les applications courantes des équipes produit (Jira, Notion, Miro, etc.), ainsi qu’à renforcer ses infrastructures, notamment pour accompagner les projets passés en production.

Lovable facture ses services sur la base d’un abonnement, auquel peut s’ajouter l’achat de crédits pour augmenter le nombre d’interactions permises avec ses outils. Le coût d’une action est estimé en fonction de sa complexité, explique l’entreprise. Elle revendiquait en novembre dernier un revenu annuel récurrent (ARR) supérieur à 200 millions de dollars, et attribuait une partie de son succès à son refus de délocaliser ses activités vers la Silicon Valley. Les capitaux de cette dernière semblent en revanche tout à fait bienvenus.

• Comment l’IA générative change-t-elle le métier de programmeur ?

Free Mobile a finalement lancé mardi son option dédiée à l’Apple Watch. Baptisée « Option eSIM Watch », elle est offerte sans surcoût aux souscripteurs d’un forfait Free 5G ou Série Free, et permet donc de disposer d’une connexion via le réseau mobile de l’opérateur sur sa montre connectée, même sans smartphone pour servir d’intermédiaire. L’accès à Internet est cependant cantonné à la 4G.

« Laissez votre smartphone à la maison et voyagez léger : votre montre fonctionne en toute autonomie », vante l’opérateur. L’activation est présentée comme quasi automatique : elle se fait depuis le smartphone de l’utilisateur, au moyen de l’application dédiée à la montre, avec les identifiants du compte Free Mobile pour déclencher le jumelage. « Vous êtes joignable sur votre montre au même numéro que votre ligne mobile », promet Free.

Sans surprise, l’option exige une Apple Watch compatible eSIM (Series 6 ou plus récentes, dotée de la connexion cellulaire), sous watchOS 26.2 minimum. Elle ne peut être activée que sur une seule montre à la fois.

Rappelons que l’offre eSIM pour Apple Watch est disponible de longue date chez certains opérateurs concurrents. Orange l’a par exemple inaugurée en 2017 avec la sortie de la Watch Series 3, première génération chez Apple à embarquer la connexion cellulaire. Chez SFR, l’offre est arrivée en 2019. Jusqu’ici seuls Bouygues Telecom et Free faisaient de la résistance en France.

En changeant son fusil d’épaule, Free égratigne ses concurrents, puisque l’option eSIM est proposée gratuitement sur son réseau, alors qu’elle est facturée 5 euros par mois chez Orange et SFR.