La menace aurait concerné un million d’abonnés. Entre mars et mai 2017, deux failles distinctes dans la sécurité des serveurs et des box SFR ont été repérées, a révélé jeudi Le Point. Conséquences, recours… Jean-François Beuze, spécialiste sur les questions en cybercriminalité et PDG de Sifaris, entreprise spécialisée dans la cybersécurité, a répondu aux questions de 20 Minutes.

En quoi les failles de sécurité auxquelles les abonnés SFR ont été exposés sont-elles préjudiciables ?

Les conséquences peuvent être catastrophiques car le hacker, via la box, peut accéder à votre ordinateur et consulter vos fichiers personnels, vos messages vocaux depuis la box. Il peut aussi créer un site fantôme (à l’identique de l’opérateur) et vous demander d’y modifier vos coordonnées bancaires. Si le hacker est bien structuré, il peut éventuellement prendre le contrôle d’un maximum de box et lancer des cyberattaques en série. Il faut tout de même être prudent, si le hacker a réussi à entrer dans les serveurs, ça ne veut pas dire pour autant qu’il a pris le contrôle intégral des serveurs de SFR.

Ce type d’incidents est-il courant ?

Dans notre domaine, le sport favori des hackers, notamment, est de mettre à jour les vulnérabilités de type zero-day, c’est-à-dire des failles informatiques qui n’ont fait l’objet d’aucune publication ou n’ayant aucun correctif connu. En matière de malveillance, mais aussi de gains, ce type d’entreprise est très attractif et courant. Le problème, c’est que les sanctions contre leurs auteurs ne sont pas à la hauteur. Malgré la convention de Budapest de 2001 sur la cybercriminalité, actuellement, il n’existe pas de stratégie claire et forte contre les cyberattaques à l’échelle internationale. Et, avec la digitalisation à marche forcée que nous vivons, il faut s’attendre à leur multiplication.

Comment savoir que l’on a été victime ?

Normalement, la seule manière de le savoir est d’en être informé par son opérateur. Ce dernier doit demander à ses clients de se rapprocher de ses services dans le cas où, par exemple, ils ont constaté des mouvements anormaux sur leur compte bancaire. L’opérateur est aussi tenu de prévenir la Commission nationale de l’informatique et des libertés (Cnil). Dans tous les cas, la faute incombe à l’opérateur, car la défaillance ne vient pas du client, qui n’est pas propriétaire de la box.

SFR* a assuré au Point que les problèmes ont été corrigés et que la totalité du parc est désormais protégée. Toutefois, ses clients n’ont pas été alertés….

Si c’est le cas, ce serait catastrophique pour son image. C’est un peu comme si vous saviez que l’eau de votre réseau est contaminée, mais que vous laissez tout de même les usagers la consommer.

* Contacté via son service presse, SFR a confirmé à 20 Minutes ne pas avoir communiqué sur les incidents signalés à l’époque. Les équipements qui avaient été touchés n’étaient pas « sensibles » et « ne permettaient pas d’accéder à des données personnelles », justifie aujourd’hui l’opérateur. Il s’agissait de « box qui donnaient accès aux modems qui donnaient eux-mêmes accès aux télés », est-il ajouté, sans plus de précisions sur le modèle des équipements concernés. « Puisqu’il n’y a pas eu de fuites, il n’y a pas eu de remontées de la part des clients », est-il conclu.