Chers clients

Suite à des perturbations constatées sur son réseau, Lyca Mobile SARL a diligenté une enquête qui a rapidement établi que nous avions été victime d’une cyberattaque de nos systèmes. Nous travaillons sans relâche pour minimiser l’impact sur nos clients.

Dès les premiers signes constatés le 30 septembre dernier, Lyca Mobile a pris des mesures immédiates pour contenir l’incident, notamment en isolant voire en arrêtant certains systèmes si nécessaire. Nous avons également fait appel aux meilleurs experts spécialisés pour nous aider à analyser la situation et à minimiser tout impact sur vos données, y compris pendant la phase de restauration de nos systèmes. Nous avons également notifié toutes les autorités réglementaires compétentes et restons en lien avec elles.

Nous avons encore besoin de temps pour mener à bien toutes nos investigations et restaurer l’intégralité de nos systèmes, mais il semble déjà probable à ce stade que les auteurs de cette cyberattaque aient pu accéder à au moins une partie des informations personnelles contenues dans nos systèmes. Certaines données de nos clients seraient concernées. Nous vous conseillons donc d’être vigilant en cas d’activité suspecte.

Voici les principales informations à caractère personnel que nous détenons pour nos clients.

• • Informations d’identification client, si vous nous les avez communiquées : nous pouvons détenir votre nom, votre adresse, votre date de naissance, un autre numéro de contact et/ou votre adresse électronique.
• • Toute information d’identité que vous nous avez fournie dans le cadre de l’enregistrement de votre ligne mobile, telle qu’un justificatif de domicile, une copie de passeport, une carte d’identité ou toute autre information similaire.
• • Si vous avez créé un compte en ligne, tel que Mon Compte sur Lycamobile.fr, nous pouvons également détenir votre mot de passe. Bien que tous les mots de passe soient cryptés dans nos systèmes, comme nous n’avons pas encore tous les détails de la cyberattaque, nous vous recommandons vivement de suivre les précautions détaillées ci-dessous.
• • Interactions avec notre service client: certaines communications entre nos clients et notre équipe du service client sont enregistrées (après avoir été sélectionnées au hasard) et ces enregistrements sont conservés jusqu’à 60 jours.
• • Si vous avez enregistré une carte de crédit dans votre espace client en ligne, nous conservons les quatre derniers chiffres du numéro de votre carte de crédit, ainsi que sa date d’expiration. Le numéro complet de la carte de crédit est également enregistré, mais il est crypté pour en assurer la sécurité. Enfin, nous ne conservons pas le code de sécurité (CVV) à trois chiffres. Nous considérons donc que le risque associé à votre moyen de paiement est très faible.

Nous souhaitons également signaler à nos clients que la portabilité des numéros a été affectée par l’attaque de nos systèmes. Nous sommes notamment dans l’incapacité de fournir pour l’instant les codes RIO. Nous nous excusons sincèrement pour la gêne occasionnée et nous travaillons sans relâche au rétablissement de cette fonctionnalité et de l’ensemble de nos services le plus rapidement possible.  

Réinitialisez votre mot de passe

Si vous avez créé un mot de passe Lyca Mobile, nous vous recommandons de le réinitialiser par mesure de précaution. Si vous utilisez ce même mot de passe pour d’autres comptes en ligne, il est prudent de le modifier dès maintenant. Si vous utilisez sur d’autres sites web (avec ou sans rapport avec Lycamobile), ce mot de passe associé avez les mêmes données personnelles d’identification, nous vous recommandons également de les modifier par mesure de précaution. Eviter d’associer les mêmes éléments sur plusieurs services en ligne est d‘ailleurs une bonne pratique.

Restez vigilant

Nous restons attentifs à toute activité suspecte et vous recommandons de faire de même. Compte tenu de la nature des informations potentiellement concernées, vous risquez d’être la cible de tentatives d’hameçonnage, de fraudes ou de communications marketing intempestives. Les auteurs de cette cyberattaque peuvent utiliser vos données personnelles pour vous contacter et vous adresser des propositions personnalisées par email, SMS ou par téléphone.

Méfiez-vous de toute demande non sollicitée visant à obtenir toute donnée à caractère personnel ou financier (compte bancaire ou numéro de carte de crédit notamment). Si vous recevez un email qui vous semble douteux ou dont vous n’êtes pas sûr de la provenance, ne l’ouvrez pas, évitez de cliquer sur tout lien suspect et effacez-le. Si malgré ces précautions, vous avez été victime d’une fraude ou d’une cyberarnaque, contactez immédiatement votre banque et portez plainte auprès de la police.

La sécurité de vos informations personnelles est essentielle pour Lycamobile. Au fur et à mesure de la progression de notre enquête et de nos analyses, nous aviserons s’il est nécessaire de prendre des mesures supplémentaires pour assurer la protection de ces informations.

Nos principaux services ont déjà pu être rétablis et nous espérons pouvoir rétablir au plus vite l’intégralité de nos systèmes et de nos services, mais nous procédons avec précaution pour minimiser tout impact ultérieur. Nous vous demandons donc de bien vouloir nous excuser en cas d’interruption de service pendant cette période.

Nous sommes également en contact avec la Commission Nationale de l’Informatique et des Libertés (CNIL) et l’Autorité de Régulation des Communications Électroniques, des Postes et de la Distribution de la Presse (ARCEP).

Nous contacter

Si vous avez des questions, vous pouvez contacter notre Service Client à l’adresse suivante : cs@lycamobile.fr. .

Vous trouverez également plus d’informations sur la manière dont nous traitons vos informations personnelles et sur vos droits, ainsi que les coordonnées de notre délégué à la protection des données, dans l’onglet « politique de confidentialité » sur notre site internet. Vous pouvez la consulter à l’adresse suivante : https://stage-france.ldsvcplatform.com/fr/help/lycamobile-privacy-policy/.

06 October 2023
Marc Payne
Data Protection Officer