Orange a reconnu mardi un nouveau vol de données personnelles chez 1,3 million de clients et prospects. « Un nombre limité de données personnelles concernant des clients et les prospects » ont été copiées lors d'une intrusion détectée le 18 avril: noms, prénoms et, quand ils étaient renseignées, l'adresse mail, les numéros de téléphone mobile et fixe, le nom de l’opérateur mobile et internet et la date de naissance, a annoncé le groupe dans un message affiché sur son site internet.

Un porte-parole a précisé à l'AFP que l'attaque avait touché 1,3 million de personnes, après avoir initialement évoqué « plusieurs dizaines de milliers » de personnes. Les données ainsi récupérées pourraient être utilisées pour contacter les personnes concernées par courrier électronique, par SMS ou par téléphone, notamment à des fins de phishing » (harponnage), prévient Orange.
Le « phishing » est une technique de piratage qui vise à recueillir des informations confidentielles (codes d'accès ou mots de passe) via l'envoi d'e-mails censés provenir des banques ou opérateurs. Les victimes trompées par la qualité supposée de l'expéditeur fournissent elles-mêmes leurs propres données personnelles.

Des mails ont été envoyés lundi pour prévenir toutes les personnes concernées, a indiqué Orange. Le message qu'elles ont reçu contient un lien "click to call back" (cliquer pour qu'on vous rappelle), et l'opérateur s'engage à les rappeler dans les 48 heures pour répondre à leurs questions. Le porte-parole a expliqué le délai entre la découverte de l'intrusion le 18 avril et sa divulgation le 5 mai par la nécessité de quantifier le vol de données, « de verrouiller le réseau technique et de s'assurer que la faille n'existe plus », puis de « dédoublonner les listes » qui contenaient souvent plusieurs fois les mêmes noms. En début d’année, un vol de données avait déjà touché 800 000 clients internet de l’opérateur. 

Vers 09h30, le titre cède 0,5%, en ligne avec l’ensemble du marché parisien.