SFR : 2,1 millions de clients fibre revendiqués via l'outil NOVA
Le 17 juillet, une revendication annonce 2 104 093 lignes extraites d'un outil interne SFR nommé NOVA. SFR a confirmé un accès non autorisé à la CNIL, sans confirmer le volume.
Une revendication publiée le 17 juillet 2026 attribue à SFR l'exfiltration de 2 104 093 lignes de données clients à partir d'un outil interne nommé NOVA. La détection et l'arrêt de l'extraction sont datés par le revendicateur du 30 juin 2026 — soit dix-sept jours avant la mise en vente. SFR a confirmé à la CNIL qu'« un accès non autorisé a récemment concerné un outil informatique », sans confirmer publiquement le volume ni l'authenticité complète du jeu de données. Source primaire côté relais : Cyberattaque.org, confirmation croisée chez Next.ink et L'Usine Digitale.
Ce qui est revendiqué
L'échantillon distribué avec la revendication contient, ligne par ligne :
- Nom, prénom, numéro de mobile associé, catégorie du client, adresse postale rattachée au compte.
- Coordonnées géographiques précises du raccordement fibre : latitude, longitude, identifiant d'immeuble, référence du point de branchement optique.
- Dans certains cas, l'étage, l'escalier, le bâtiment et l'emplacement technique de la prise fibre à l'intérieur de l'immeuble.
Cette granularité — au-delà de la simple adresse — est le point qui distingue cette base des fuites SFR précédentes. Elle localise la prise, pas seulement le client. Combinée à un nom et à un numéro de téléphone, elle transforme la base en carnet d'adresses opérationnel pour du démarchage frauduleux ciblé, de l'ingénierie sociale sur du support technique, ou du repérage physique.
Ce qui n'apparaît pas dans l'échantillon : mots de passe, numéros de carte bancaire, IBAN. Les revendications précédentes contre SFR (décembre 2025, mai 2025) avaient exposé des IBAN — ce n'est pas le cas ici, à ce stade et sur la base de l'échantillon publié.
Statut de vérification
- SFR a notifié la CNIL d'un accès non autorisé à un outil informatique. Un formalisme article 33 RGPD implique la connaissance de l'incident et déclenche le compteur des 72 heures.
- SFR n'a pas confirmé le chiffre de 2 104 093 lignes ni l'attribution complète du dataset revendiqué. Le rapprochement entre la revendication publique et le périmètre notifié à la CNIL n'est pas encore établi côté opérateur.
- L'outil désigné par le revendicateur — NOVA — n'a pas été nommé publiquement par SFR. La description publique (gestion des interventions de raccordement fibre) recoupe la nature des données présentes dans l'échantillon.
- Le revendicateur affirme que l'extraction a été détectée et interrompue par les systèmes de surveillance de SFR le 30 juin 2026. Ce point est cohérent avec un délai de deux à trois semaines entre incident et notification RGPD, mais n'est pas confirmé par l'opérateur.
Que faire
- Clients SFR fibre — considérer l'adresse, le numéro de mobile et la position précise de la prise comme potentiellement publics. Aucune action n'annule cette exposition. En revanche, tout appel « du service technique SFR » demandant un accès distant, un code par SMS, ou une intervention sur site à une date qui ne correspond pas à un rendez-vous que vous avez pris doit être traité comme du social engineering. Rappeler SFR sur le 1023 (ou son propre espace client) plutôt que rappeler le numéro qui a appelé.
- Surveiller les tentatives de faux « rendez-vous technicien » à domicile. L'accès physique à un immeuble sous prétexte d'une intervention réseau est un scénario documenté (repérage, dépôt de matériel, port cloning en local). Un vrai technicien SFR passe par un rendez-vous programmé côté opérateur, jamais par un appel à froid le jour même.
- Équipes SFR / Altice — cadence de communication client. À la date de publication, l'opérateur a communiqué à la CNIL et à la presse mais pas à ses abonnés individuellement. Le délai entre la revendication publique et la notification individuelle des personnes concernées (article 34 RGPD) est le point sur lequel la CNIL a déjà sanctionné plusieurs opérateurs télécoms en 2024–2025.
- RSSI hors SFR — auditer vos propres outils métiers analogues à NOVA. Un outil interne dédié à la gestion des interventions terrain concentre par nature des données de raccordement, des coordonnées client et des accès techniciens. Ce sont des cibles régulièrement compromises quand le contrôle d'accès à l'outil (SSO, MFA, restrictions IP) reçoit moins d'attention que la protection du CRM principal. Vérifier les journaux d'accès à ces outils, la rotation des jetons OAuth des applications techniciens, et les exports de masse sur les 90 derniers jours.
- Attention aux campagnes de phishing SMS immédiates. Les kits combinant nom + prénom + numéro de mobile récupérés dans ce type de base fonctionnent particulièrement bien sur les faux SMS de suivi de « rendez-vous fibre » ou de faux avis de passage. Filtrer côté messagerie mobile et signaler à
33700(spam SMS).
Contexte
Il s'agit de la troisième revendication de fuite attribuée à SFR en moins de sept mois, après la compromission d'un outil de gestion des interventions fibre en décembre 2025 (confirmée par SFR, 3,6 millions de lignes rendues publiques) et la fuite d'IBAN annoncée en mai 2025. Le motif structurel est identique aux deux précédents cas : ce ne sont pas les bases CRM principales qui cèdent, mais les outils métiers latéraux — gestion des interventions, gestion des raccordements, gestion des installateurs partenaires. Ces outils manipulent moins de champs sensibles au sens strict (pas d'IBAN cette fois-ci), mais concentrent la donnée technique de raccordement, qui a une valeur opérationnelle propre pour un attaquant.
La séquence s'inscrit dans une semaine dense pour les revendications visant des entreprises françaises : voir également le dossier Croq'Vacances — 72 916 dossiers de séjours enfants revendiqués publié la veille, dans la même vague de revendications synthétisées par info.fr. Les acteurs qui monétisent ces bases privilégient depuis quelques mois les cibles à forte densité de données géo-personnelles — opérateurs télécoms, tourisme, associations sportives — plutôt que les gros jeux d'identifiants génériques.