Orange Belgium hacké : vos données se baladent
Orange Belgium vient d’annoncer avoir été victime d’une cyberattaque. En clair : un pirate a mis le nez dans leurs systèmes et a pu récupérer une série de données personnelles.
Rassurez-vous (ou pas) : vos mots de passe, adresses e-mail et coordonnées bancaires n’ont pas fuité. Mais est-ce si rassurant ?
Ce qu’il faut retenir :
- Orange Belgium a été victime d’un hacking dans lequel les auteurs ont eu accès à des données clients
- La société a bloqué l’accès et prévenu les autorités
- Votre vigilance risque d’être mise à l’épreuve dans les semaines ou mois à venir
Quelles données ont été exposées ?
D’après Orange, une personne autorisé a réussi à accéder à:
- vos nom et prénom,
- votre numéro de téléphone,
- le numéro de votre carte SIM,
- le code PUK,
- et même votre plan tarifaire.
Bref, de quoi bricoler de belles arnaques par SMS, SIM swap ou usurpation d’identité.
Quelle a été la réaction d’Orange ?
D’après leur communiqué :
- ils ont coupé l’accès dès qu’ils ont repéré l’intrusion,
- ils ont porté plainte et prévenu les autorités,
- et ils promettent de renforcer encore la sécurité (classique “nous prenons ça très au sérieux”, version corporate)
Trois semaines pour nous prévenir… sérieusement ?
Orange Belgium a détecté la cyberattaque fin juillet 2025. Et pourtant, les clients n’ont reçu une communication officielle que le 20 août. Faites le calcul : presque un mois pour dire à 850 000 personnes que leurs données personnelles (noms, numéros de téléphone, SIM et codes PUK) étaient dans la nature.
Alors oui, côté corporate, on explique qu’il faut “analyser, comprendre, préparer la communication”. Mais le RGPD, lui, est un peu plus strict : 72 heures pour avertir l’autorité de protection des données dès qu’une fuite est confirmée ou suspectée. Quant aux clients, ils doivent aussi être prévenus “dans les meilleurs délais” s’il y a un risque pour leurs droits. Ici, les “meilleurs délais” ressemblent surtout à un sprint… d’escargot.
Ce délai pose deux gros problèmes :
- La confiance : plus l’annonce tarde, plus les clients se sentent laissés dans le noir, et plus la suspicion grandit (“qu’est-ce qu’ils nous cachent ?”).
- La sécurité : trois semaines, c’est largement assez pour qu’un arnaqueur lance des campagnes de phishing ou des tentatives de SIM swap en profitant du silence.
Bref, si vous avez l’impression qu’Orange a pris son temps pour rédiger son communiqué et valider trois fois chaque phrase avec ses avocats… vous n’êtes pas loin de la vérité. Pendant ce temps-là, vos données avaient déjà pris l’air.
Et vous, que faire ?
Le danger immédiat, ce n’est pas que quelqu’un vide votre compte bancaire avec vos données SIM. Mais un fraudeur pourrait tenter de se faire passer pour Orange pour soutirer des infos plus sensibles : numéro de carte bancaire, identifiants, mots de passe.
En résumé :
- Méfiez-vous des appels, SMS ou mails suspects.
- Ne communiquez jamais vos mots de passe à qui que ce soit (même pas à “Orange”).
- Évitez les authentification a deux facteurs qui se basent sur un SMS et privilégier les application d’authentification
- Vérifiez régulièrement si vos données n’ont pas déjà fuité ailleurs sur Have I Been Pwned ?
- Et surtout : si vous n’avez pas encore de gestionnaire de mots de passe… c’est peut-être le moment d’y penser sérieusement.
Un dernier mot
Les fuites de données ne sont plus des “si” mais des “quand”. Aujourd’hui, c’est Orange. Hier c’était une appli que vous utilisez tous les jours. Demain, ce sera probablement une autre.
Moralité : partez du principe que vos données sont déjà dans la nature. Le vrai jeu, c’est d’empêcher que cela vous mette dans la panade.
Et si vous recevez bientôt un SMS chelou avec “Bonjour, c’est Orange, merci de nous donner vos identifiants bancaire pour vous rembourser un trop perçu”… vous savez quoi répondre.
