Bouygues Telecom victime d'une cyberattaque majeure

Bouygues Telecom a confirmé le 6 août 2025 avoir été victime d'une cyberattaque ayant exposé les données personnelles de 6,4 millions d'abonnés. Cette intrusion informatique, détectée le 4 août, constitue selon Les Échos la plus importante fuite de données jamais subie par un opérateur télécom français.

Les pirates informatiques ont réussi à accéder à des informations sensibles : coordonnées personnelles, données contractuelles, informations d'état civil et les précieux IBAN permettant d'identifier le compte bancaire. Heureusement, les numéros de cartes bancaires et les mots de passe des comptes clients ne sont pas concernés par la fuite.

Une vulnérabilité croissante

Le secteur des télécommunications français traverse une période particulièrement difficile en matière de cybersécurité. Après Orange fin juillet, c'est donc Bouygues début août. Cette succession d'attaques illustre la vulnérabilité d'un secteur qui concentre des millions de données personnelles.

Le secteur des télécoms, qui centralise des millions de données personnelles, devient une cible de choix pour des groupes organisés, parfois étatiques. L'ANSSI observe depuis plusieurs années une recrudescence des intrusions furtives et des attaques par ransomwares.

Conséquences de l'attaque

Bouygues Telecom a résolu la situation dans les plus brefs délais grâce à ses équipes techniques et a mis en place toutes les mesures complémentaires nécessaires. L'entreprise a immédiatement notifié la CNIL et déposé plainte auprès des autorités judiciaires.

Le véritable danger ne réside pas dans le piratage direct des comptes clients. Armé du nom, des coordonnées et de détails sur un contrat, un cybercriminel peut se faire passer pour un conseiller de Bouygues Telecom, la banque de sa victime ou une autre institution. Cette technique, appelée "spear phishing", permet de créer des arnaques personnalisées particulièrement crédibles.

La présence des IBAN dans les données compromises constitue un risque supplémentaire. Dans le cadre d'une technique d'usurpation d'identité, un IBAN peut éventuellement être exploité pour générer de faux mandats de prélèvement SEPA.

Mesures de protection et recommandations

Bouygues Telecom a déployé un dispositif d'accompagnement complet. Les 6,4 millions de clients concernés par la cyberattaque reçoivent actuellement des notifications par e-mail ou SMS. Un numéro vert gratuit (0801 239 901) et une page web dédiée ont été activés.

Les recommandations de sécurité sont claires : ne jamais transmettre leurs mots de passe ou coordonnées bancaires par téléphone ou email, même si le message semble venir de l'opérateur. Il convient également de surveiller attentivement ses comptes bancaires et de signaler toute activité suspecte.

Pour les prélèvements abusifs, les victimes peuvent s'opposer pendant 13 mois à tous les prélèvements effectués sans accord sur un compte bancaire.

Cette cyberattaque soulève des questions fondamentales sur la sécurité des données dans un secteur stratégique. Au-delà des sanctions pénales encourues par les auteurs (jusqu'à 5 ans de prison et 150 000 euros d'amende), l'incident pourrait accélérer le renforcement de la réglementation européenne sur la protection des données personnelles.