Format PDF

L’opérateur New Age Telecom déterminé à devenir un acteur incontournable dans le secteur des communications électroniques, a décidé de se positionner sur le créneau des « smart cities ». Il  a donc élaboré un projet d’un éco-quartier entièrement connecté. Doté d’une infrastructure de réseau global à très haut débit, ce quartier donnera accès à des services numériques sécurisés et de qualité tant aux habitants de ce nouvel espace de vie que de l’ensemble des habitants de la ville qui se rendront dans ce quartier.

Outre un système de vidéosurveillance qui transite par Internet et une couverture wifi en libre accès, des services innovants seront proposés comme un parking partagé, des bornes interactives ou encore des panneaux d’affichage dynamiques. De nombreux autres services, tel que l’accès sécurisé à certains appartements, maisons ou commerces, transiteront par une mini télécommande munie de puce fournie par l’opérateur.

En vue d’héberger les données de ses clients qu’il collectera au travers de ces différents services fournis par voie de communication électronique, l’opérateur New Age Telecom conclut un contrat le 5 mai 2014 avec la société de droit américain Procloud dont les serveurs sont situés aux Etats-Unis et au Sénégal, et ayant un bureau à Paris. Il est expressément indiqué que les données seront hébergées dans le lieu de stockage principal.

L’une des clauses du contrat stipule que New Age Telecom peut, à tout moment et sous réserve d’avoir préalablement prévenu Procloud, effectuer un audit de son système d’information en vue de s’assurer que les conditions d’hébergement des données sont conformes à la loi. Par ailleurs, il est convenu que Procloud fournira un code d’accès à l’opérateur afin qu’il accède aux données collectées en vue de leur utilisation.

Le 24 janvier 2015, New Age Telecom inaugure dans la ville de Mayevale, située aux portes de la Bretagne, cet éco-quartier connecté baptisé Digit’Eco. Une large couverture médiatique, tant régionale que nationale, est assurée et les élus de plusieurs autres villes de la région participent à cette inauguration.

Le 17 décembre 2015, New Age Telecom informe Procloud qu’elle réalisera un audit le 28 décembre 2015. Cependant, l’audit ne peut avoir lieu car l’hébergeur américain estime que le délai pour préparer cet audit est trop court en cette période des fêtes de fin d’année très chargée pour l’entreprise.

Le 7 mai 2016, le système de vidéosurveillance du Digit’Eco devient inactif. Parallèlement, des habitants de ce nouveau quartier se retrouvent bloqués plusieurs heures dans, ou à l’extérieur de leur logement, leurs boitiers d’accès fournis par l’opérateur télécom ne fonctionnant plus. D’autres restent enfermés une partie de la nuit dans les magasins dont le dispositif de sécurité s’est verrouillé automatiquement sans possibilité d’accès à une ouverture manuelle. Toute une série d’autres dysfonctionnements des différents services de l’opérateur s’enchaînent pendant ce week-end du 8 mai.

New Age Telecom se rend compte alors que le mot de passe de sécurisation de l’ensemble du réseau du quartier connecté, installé par défaut, « 1234567Digiteco » a été piraté. Il pensait pourtant que ce code était sûr dans la mesure où c’était le même que celui que Procloud lui avait fourni pour l’accès des administrateurs aux données hébergées.

Dès le 7 mai et durant les semaines du 9 au 22 mai 2016, New Age Telecom reçoit de nombreuses plaintes émanant de ses clients. Ceux-ci, se plaignent des conséquences parfois dramatiques du blocage du réseau pendant le pont du 8 mai, mais aussi d’avoir reçu des mails émanant de l’opérateur contenant des liens en vue d’une mise à jour de leur compte client, et qu’à la suite de cette mise à jour, leurs comptes bancaires ont été débités de sommes importantes sans leur consentement pour des achats qu’ils n’ont pas effectués.

Le 20 mai 2016, Procloud informe New Age Telecom que ses serveurs situés au Sénégal ont fait l’objet d’une attaque informatique le 7 mai 2016. Au moins deux millions de données à caractère personnel des clients de New Age Telecom auraient été dérobées durant cette attaque. Aussitôt, New Age Telecom envoie une notification de violation de données à caractère personnel à la Cnil et à ses clients.

Le même jour, New Age Telecom reçoit un message en langue russe d’un groupe dénommé « Les Robins du Caucase ». Ce groupe revendique l’attaque informatique subie par les serveurs de l’opérateur télécom ainsi que le vol massif des données de ses clients hébergées par Procloud.

Dès le 23 mai 2016, l’affaire devient publique. Le journal « Infos croustillantes » révèle en première page le vol des données personnelles des clients de New Age Telecom et le blocage complet du nouvel éco-quartier numérique de Mayevale. L’article pointe du doigt le défaut de sécurisation des données des clients de l’opérateur qui a entraîné le phishing et l’utilisation frauduleuse de leurs données bancaires.

Cette révélation fracassante fait la Une de très nombreux médias tant en France qu’en Europe et jette l’opprobre sur New Age Telecom. A cela s’ajoute l’avertissement public prononcé à son encontre par la Commission nationale de l’informatique et des libertés le 25 juillet 2016.

Mais l’opérateur télécom n’est pas au bout de ses peines. La direction commerciale l’informe de l’afflux de demandes de résiliation d’abonnement, et la direction juridique d’actions en justice qui vont être engagées par les clients qui estiment avoir subi un préjudice important, tant financier que moral. De plus, des habitants du quartier menacent de déménager du Digit’Eco car ils ont l’impression de ne plus être en sécurité.

Cette opération innovante qui devait asseoir la position de l’opérateur New Age Telecom comme leader national voire européen sur le marché des « smart cities » s’avère être un échec. L’opérateur soutient que « sans l’incompétence de Procloud, le projet aurait été une réussite ». New Age Telecom estime que la faille de sécurité est imputable à un manquement de l’entreprise Procloud qui s’était engagée à garantir la sécurisation des données hébergées. En outre, il en est convaincu, sans ce vol de données, il n’y aurait pas eu d’intrusion dans le réseau de l’éco-quartier connecté.

L’opérateur  New Age Telecom décide alors de résilier le contrat et d’attraire en justice Procloud près le tribunal de commerce de Paris.

 

 Documents annexes

 

Contrat entre New Age Telecom et Procloud

Avertissement de la CNIL

Article de presse

Différents emails

Publicités