La Poste Mobile : 2 semaines après la cyberattaque, encore de vastes zones d’ombre

Le 4 juillet, La Poste Mobile se découvrait victime d’une cyberattaque conduite par un affidé de la franchise LockBit 3.0. Des messages de clients publiés sur Twitter trahissaient la réalité d’une situation qui ne devait être reconnue publiquement que 4 jours plus tard : problèmes d’activation de ligne, impossibilité d’obtenir le précieux RIO indispensable à une portabilité, service client injoignable par téléphone, pas d’accès à l’application mobile ni au site…

Le 8 juillet, La Poste Mobile diffusait largement un communiqué de presse reprenant les mêmes éléments de langage que ceux affichés sur son site Web : « les services administratifs et de gestion de La Poste Mobile ont été victimes, ce lundi 4 juillet, d’un virus malveillant de type rançongiciel ». 

Avant cela, le message était tout autre : « nous procédons actuellement à l’amélioration de nos produits et services. Ainsi, le site internet et l’espace client sont momentanément indisponibles ».

Mais voilà, le 7 juillet au soir, une revendication de cyberattaque contre La Poste Mobile était publiée sur le site vitrine de la franchise mafieuse LockBit 3.0. Surprise, le 10 juillet, elle était supprimée, avant de réapparaître le lendemain. Accompagnée quelques heures plus tard d’un premier de jeu de données clients. La suite a été publiée ce week-end.

La rédaction a sollicité le service de presse de La Poste Mobile et la direction de la communication du groupe La Poste, notamment pour en savoir plus sur l’impact de la cyberattaque sur les clients de l’opérateur mobile virtuel. Nous avons également demandé quels services ont pu être rétablis au cours des deux dernières semaines et quelles mesures d’accompagnement ont été prises pour les clients dont les données personnelles ont été compromises.

Seul le service de presse de La Poste Mobile nous a répondu. À ce stade, l’opérateur ne semble n’avoir prévu que des mesures d’accompagnement limitées pour ses clients concernés. Par email, l’opérateur indique ainsi avoir « communiqué auprès de ses deux millions de clients en les invitant à être particulièrement vigilants, notamment en surveillant toute tentative de phishing et/ou d’usurpation d’identité, ainsi que tout mouvement anormal sur leur compte bancaire ».

Il précise avoir « recommandé à ses clients de prendre les mesures de sécurité suivantes : ne pas utiliser le même mot de passe pour plusieurs sites internet ou services en ligne ; ne jamais communiquer d’informations bancaires confidentielles telles que code secret et identifiants d’accès par courrier, email ou téléphone ».

Un numéro gratuit a toutefois été mis en place : « Les clients qui auraient besoin d’informations complémentaires concernant les données à caractère personnel en lien avec cet événement ou qui auraient un doute sur la véracité d’un courrier, d’un SMS ou d’un email La Poste Mobile, peuvent contacter le service client de La Poste Telecom au 0 805 305 205 et à l’adresse suivante : [email protected] ».

Les données dérobées ont parallèlement été indexées par le service haveibeenpwned.com. En outre, un ancien client s’est plaint d’avoir trouvé ses coordonnées bancaires dans le lot alors même que son abonnement avait été résilié depuis… dix ans.

La Poste Mobile suggère que seuls les services de rechargement et de portabilité ont été effectivement affectés et qu’ils ont pu être rétablis « progressivement », à partir du « 6 juillet ». Pour le reste, l’opérateur indique que ses clients « ont toujours pu utiliser normalement leur téléphone ainsi que leur abonnement (voix, SMS-MMS, data) ».

Nos questions relatives à la posture des cybercriminels durant les jours ayant précédé la divulgation des données n’ont pas reçu de réponse.