France : un million d’appels à des services client mis en vente

Le hacker éthique Julien Metayer a découvert, sur un forum cybercriminel, une annonce postée le 12 mars 2023. Elle propose d’acheter, pour 3 500 euros en cryptomonnaie, une base de données d’un million d’appels téléphoniques à des services client francophones de grandes entreprises.

L’annonce fournit un échantillon de cent appels, jugé « très très crédible » par Julien Metayer. Les conversations contiennent des « données médicales, personnelles, codes confidentiels », associés aux numéros de téléphone des appelants. « Des campagnes d’arnaques phoning vont exploser sur ces numéros », prédit le hacker éthique, qui a immédiatement alerté l’Anssi.

L’annonce de mise en vente a par ailleurs été supprimée du forum cybercriminel dès le lendemain de sa publication, le 13 mars 2023. Les pirates informatiques ont donc peut-être déjà trouvé preneur pour cette base de données.

Julien Metayer a établi une liste des sociétés citées dans les enregistrements : « Amazon, Apple Assistance, La Banque Postale, BioGroup, Booking.com, Canal+, Clinique Maison fleurie, Coriolis Télécom, Crédit Agricole, eDreams, Foliateam, Free, G7 Taxi, Iberia, La Poste, ManoMano, N26, Nickel Banque, Oney, Opodo, Orange, Ouigo, PlayStation, Rakuten, RegloMobile, SFR, SNCF, UPS ».

D’après une enquête de La Banque Postale, la fuite viendrait du 118 412, un numéro privé payant de renseignements téléphoniques. « Leur numéro apparaît dans 99 % des cas », indique Julien Metayer. La société éditant ce numéro aurait donc enregistré des appels après la mise en relation avec des tiers (ce qui est interdit), avant de voir sa base de données audio piratée.