En bref

  • Une faille de Telia Norge, exposée publiquement par NRK et le chercheur Mnemonic le 13 avril 2026, permettait depuis 2023 de géolocaliser des abonnés mobiles à partir de simples requêtes API.
  • Le régulateur norvégien des communications Nkom a ouvert une enquête formelle, suivi par Datatilsynet, l'équivalent norvégien de la CNIL, qui s'inquiète d'une violation potentielle d'ampleur du RGPD.
  • Telia Norge a colmaté la brèche dans la nuit du 14 au 15 avril, mais la durée d'exposition — près de trois ans — fait peser un risque significatif sur les abonnés professionnels et les forces de l'ordre clientes du réseau.

Ce qui s'est passé

L'affaire éclate le 13 avril 2026. Le diffuseur public norvégien NRK révèle, en s'appuyant sur les travaux du chercheur en sécurité Tor Erling Bjørstad de la société Mnemonic, qu''une vulnérabilité dans une API de Telia Norge permettait à un attaquant disposant d'un numéro de téléphone valide de récupérer la position cell-ID approximative du client correspondant. La faille, présente depuis au moins le second semestre 2023, ne nécessitait ni authentification renforcée ni chaînage d'exploits : un simple POST sur un endpoint mal contrôlé renvoyait le triplet MCC/MNC/cell-ID, suffisant pour situer un téléphone à quelques centaines de mètres en zone urbaine et quelques kilomètres en zone rurale.

Mnemonic indique avoir alerté Telia Norge le lundi 13 avril en fin de journée. Selon les déclarations publiques de l'opérateur, la correction a été déployée pendant la nuit du 13 au 14 avril, puis vérifiée par tests d'intrusion ciblés le 14 avril dans la matinée. Telia confirme avoir révoqué les jetons d'accès de l'API concernée et imposé désormais une authentification mutuelle TLS sur les flux internes qui empruntaient ce service. L'opérateur revendique 2,4 millions d'abonnés en Norvège, soit environ 40 % du marché mobile, ce qui rend l'exposition particulièrement large.

L'enquête s'étend rapidement au régulateur. Le 15 avril, Nkom — Nasjonal kommunikasjonsmyndighet, autorité norvégienne des communications — annonce ouvrir une procédure formelle pour vérifier la conformité de Telia Norge aux obligations de sécurité prévues par la loi norvégienne sur les communications électroniques. La directrice de Nkom, Pia Sønstebø, déclare que l'agence cherchera à déterminer « depuis quand l'opérateur connaissait ou aurait dû connaître la faille, et quelles mesures internes de revue de sécurité ont été appliquées ». Le 17 avril, c'est au tour de Datatilsynet, l'équivalent norvégien de la CNIL, d'ouvrir un volet RGPD distinct, en s''appuyant sur l'article 32 — sécurité du traitement — et sur l'article 33 — notification de violation aux autorités.

Sur le plan technique, plusieurs détails publiés par NRK aggravent la lecture du dossier. La faille concernerait un endpoint historiquement destiné à des partenaires télémétriques internes, jamais documenté publiquement, mais accessible depuis Internet sans contrôle d'origine. Mnemonic indique avoir testé en production près de 200 numéros de téléphone tirés au sort dans le bottin public et obtenu une géolocalisation cell-ID exploitable dans 100 % des cas, sans déclencher d'alerte côté Telia. L'absence de monitoring sur cet endpoint suggère un défaut de couverture du SOC, pas seulement une erreur de configuration ponctuelle.

Un autre élément retient l'attention. Le périmètre de la faille couvrait également les numéros opérés par des clients professionnels et des entités sensibles, dont des forces de police régionales et le service correctionnel norvégien. Plusieurs figures politiques ont publiquement demandé que la PST — service de sûreté norvégien — évalue si des cibles spécifiques auraient été géolocalisées par des acteurs étrangers durant les trois années d'exposition. Aucune preuve d'exploitation effective n'est à ce stade publique, mais l'absence de logs côté Telia sur l'endpoint en cause empêche de répondre à cette question avec certitude.

Pour les abonnés, Telia Norge a publié le 18 avril une FAQ et une procédure de signalement individuel, mais n'a pas envoyé de notification individuelle de violation au sens du RGPD. L'opérateur estime que la nature des données exposées — cell-ID, sans contenu de communication ni identité — ne déclenche pas l'obligation de notification individuelle. Datatilsynet conteste cette interprétation : selon le régulateur, la donnée de localisation est explicitement classée comme donnée à caractère personnel sensible par l'AI Act et par les lignes directrices CEPD sur les données de localisation, et la notification individuelle aurait dû être envoyée au moins aux clients professionnels et publics dont l'exposition crée un risque tangible.

Ce dossier rappelle un précédent. En 2024, un mécanisme similaire avait été identifié chez un opérateur australien et avait conduit à une amende ACMA de 12 millions de dollars australiens, accompagnée d'un plan de remédiation triennal. En 2025, l'opérateur britannique BT avait également colmaté une faille de géolocalisation cell-ID via SS7 après alerte de la NCSC. Le profil norvégien de l'incident — durée d'exposition de plusieurs années, absence de logs, scope élargi — le rapproche davantage du dossier australien que du dossier britannique, où la vulnérabilité avait été détectée en moins de trois mois.

Telia Company, la maison-mère suédoise, a publié un communiqué le 22 avril confirmant le lancement d'un audit indépendant sur l'ensemble des filiales Telia, incluant Suède, Finlande et Lituanie, pour vérifier l'absence de vulnérabilités similaires. Le cabinet d'audit Ernst & Young a été désigné, avec un rendu prévu pour fin juin 2026. Cette démarche s'ajoute aux investigations Nkom et Datatilsynet, dont les conclusions sont attendues à l'horizon septembre-octobre 2026. Une amende pourrait être prononcée d'ici la fin de l'année, dans une fourchette qui, selon les analystes du cabinet Bird & Bird, oscillerait entre 20 et 80 millions d'euros au regard du chiffre d'affaires Telia Norge et de la durée d'exposition.

Pourquoi c'est important

L'incident Telia Norge illustre une catégorie de risque souvent sous-estimée : les API legacy non documentées qui survivent aux refontes successives. Dans la grande majorité des opérateurs télécoms européens, une part significative de l'infrastructure repose sur des couches BSS/OSS construites entre 2005 et 2015, avec des endpoints internes restés accessibles sur des réseaux privés mais reliés à Internet pour des raisons opérationnelles oubliées. Toute organisation gérant un parc d'API hérité devrait considérer ce dossier comme un signal clair : un audit exhaustif d'inventaire d'API, avec test d'authentification et journalisation, doit figurer sur la feuille de route 2026.

Le risque pour les abonnés ne tient pas tant aux données exposées qu'à leur sensibilité contextuelle. La géolocalisation cell-ID seule ne révèle pas de contenu, mais corrélée à d'autres bases de données, elle permet de reconstruire des trajectoires individuelles, d'identifier des résidences habituelles, et de tracer des modes de déplacement. Pour des cibles à profil sensible — magistrats, responsables politiques, personnel diplomatique, sources journalistiques — l'exposition pendant trois ans constitue un risque opérationnel majeur, indépendamment de l'absence de preuve d'exploitation. Les services de protection des hauts fonctionnaires devront vraisemblablement réévaluer les processus de fourniture de téléphones professionnels.

Sur le plan réglementaire, le dossier servira de cas d'école pour l'application combinée de la directive eIDAS révisée, du RGPD et de la directive NIS2 récemment transposée en Norvège. Si Datatilsynet confirme la classification donnée de localisation comme donnée sensible, plusieurs autres opérateurs européens devront revoir leurs procédures de notification individuelle pour ce type de violation. La jurisprudence qui se construira sur ce dossier pourrait alourdir les obligations de notification au-delà de ce que beaucoup d'opérateurs pratiquent aujourd'hui, en particulier pour les expositions de longue durée sans preuve d'exploitation.

Enfin, la communication de Telia Norge sera scrutée par les directions juridiques et compliance d'autres opérateurs. Le choix de ne pas notifier individuellement, justifié par l'absence d'exposition de contenu, se heurte à une lecture étendue du RGPD privilégiée par plusieurs autorités européennes ces dernières années. La trajectoire probable — amende significative, plan de remédiation supervisé, communication corrigée — devra inspirer les politiques internes de notification de violation, particulièrement pour les acteurs critiques au sens NIS2.

Ce qu'il faut retenir

  • Une API legacy de Telia Norge a permis pendant près de trois ans de géolocaliser n'importe quel abonné, faute d'authentification et de journalisation côté opérateur.
  • Nkom et Datatilsynet ont ouvert deux enquêtes parallèles ; une amende de 20 à 80 millions d'euros est plausible d'ici fin 2026 selon les analystes spécialisés.
  • Toute organisation exploitant des API héritées doit accélérer l'inventaire, le contrôle d'accès et la journalisation de ces endpoints, en particulier ceux qui exposent des données de localisation.

Que doivent faire les entreprises clientes Telia Norge ?

Pour les flottes professionnelles, demander à Telia Norge un relevé d'usage de l'API en cause sur la période 2023-2026, documenter la réponse, et évaluer si une notification interne aux salariés concernés est nécessaire au titre des obligations RGPD du responsable de traitement. Pour les profils sensibles, envisager un changement de numéro et un audit du parc terminal.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact