SFR, l’opérateur de télécommunications, a confirmé une violation de données de ses clients le vendredi 20 septembre, incluant des données bancaires telles que des IBAN, selon les déclarations faites auprès de l’Agence France-Presse (AFP) après la diffusion de correspondances adressées à ses clients.
L’incident de sécurité a été détecté le 3 septembre et a affecté un système de gestion des commandes de SFR, a communiqué l’opérateur dans un courrier type envoyé aux clients touchés et que l’AFP a consulté.
D’après les courriers, les informations qui ont été exposées incluent le nom, le prénom, les coordonnées fournies lors de la commande (numéro de téléphone, adresses électronique et postale, adresse de livraison si applicable), les données contractuelles (offre souscrite, contenu de la commande), le numéro d’identification du terminal et de la carte SIM (pour les commandes de terminal mobile).
Le nombre exact de clients touchés par cette violation de données n’a pas été précisé par SFR, mais l’entreprise a confirmé que celle-ci avait affecté ses clients réguliers ainsi que ceux souscrivant à son offre « Red by SFR ». Pour une partie des clients, cette fuite a aussi inclus les IBAN.
SFR a déclaré avoir porté plainte auprès du procureur de la République et avoir informé la Commission nationale de l’informatique et des libertés (CNIL) de l’infraction, ce qui est une obligation légale depuis 2018.