News

Cyberattaque de Free : les millions de données volées revendues 175 000 $ sur le dark Web

Déjà épinglé en 2022 par la Cnil pour la faible protection des données de ses clients, Free vient d’être la cible d’une cyberattaque massive. Les données de 19,2 millions de comptes et de 5,11 millions d’IBAN ont été volées et revendues hier pour 175 000 $ sur le dark Web. Après les piratages cette année de SFR, de France Travail ou encore de Viamedis et Almerys, une question se pose : où est la sécurité de nos données ?

◆ Un vol découvert par un lanceur d’alerte

L’alerte a été donnée le 22 octobre dernier par un tweet publié sur le compte X de SaxX, un « gentil hacker », comme il se définit lui-même. Dans la nuit, il avait découvert une mise en vente suspecte sur ce qui est l’équivalent d’Amazon dans l’univers du dark Web. Le contenu de la vente : deux bases de données provenant de l’opérateur Free, l’une comprenant les informations de plus de 19 millions de comptes clients, l’autre constituée de 5,11 millions d’IBAN (coordonnées bancaires internationales). Les données piratées semblaient issues aussi bien des comptes Free que Free Mobile.

D’après les informations recueillies par SaxX, le cybercriminel (un Français) avait créé son profil la veille, soit quelques heures seulement avant la mise en vente, mais aurait récupéré les données le 17 octobre.

◆ Premier message incomplet de Free

Free a confirmé l’information trois jours plus tard, en envoyant le 25 octobre un mail à ses abonnés. Seul problème : aucune mention n’était faite dans ce message du vol des données IBAN (voir extrait du mail de Free ci-dessous).

◆ Une « sacrée envie de foutre le bordel » ?

Cette « petite » omission de la part de l’opérateur a, semble-t-il, déplu à l’auteur de la cyberattaque. Sans doute pour prouver qu’il détient bien ces IBAN, le hacker a décidé d’en diffuser une partie gratuitement dans la nuit du 26 au 27 octobre, comme il l’avait annoncé quelques heures plus tôt sur son compte, en accompagnant son message d’une photo de la couverture du livre de Xavier Niel (fondateur et principal actionnaire de Free), Une sacrée envie de foutre le bordel, paru chez Flammarion le 25 septembre dernier. En témoigne la capture d’écran ci-dessous, faite par SaxX et publiée dans son tweet du 27 octobre.

◆ Free rectifie son message

Un échantillon de 100 000 IBAN (sur les 5 millions mis en vente) s’est ainsi retrouvé en accès libre dans la nature.

Le 28 octobre au matin, Free a donc rectifié le tir en envoyant un second message à ses abonnés, où il est cette fois fait mention de la compromission des IBAN (voir extrait du second mail de Free ci-dessous).

◆ Le « plus gros hack d’un opérateur de téléphonie en France »

Début septembre déjà, ce sont les clients de SFR qui avaient subi un piratage de leurs données personnelles et coordonnées IBAN. Mais « seuls » 50 000 abonnés auraient été impactés, toujours d’après SaxX, lanceur de cette alerte comme de nombreuses autres.

Aujourd’hui, avec la cyberattaque de Free et ses 19 millions de comptes piratés, « on est face au plus gros hack d’un opérateur de téléphonie en France ! » estime l’informateur, dont le vrai nom est Clément Domingo.

On apprend aussi par son tweet du 29 octobre qu’« une partie tierce aurait déboursé 175 000$ pour mettre la main sur ces données », alors que les enchères avaient débuté à 10 000 € quelques jours auparavant.

◆ D’autres enseignes potentiellement menacées

En faisant des recherches, Clément Domingo a découvert qu’« au cours des mois derniers, des cybercriminels ont mis en vente l’accès à des “outils de gestion” ou encore à des “portails d’administration” de différentes sociétés/enseignes françaises », dont Free et SFR. « À l’origine, explique-t-il dans un tweet du 28 octobre, ces cybercriminels vendaient l’accès à un ou plusieurs comptes de Free à 2 000 $. Cela permettait d’avoir un “Accès admin au portail Free” » et donc d’avoir accès à toutes les données des clients, y compris leur IBAN.

« Il y a de fortes chances que ce soit un des vecteurs d’attaque utilisés par le cybercriminel français à l’origine de cette fuite de données de Free », estime le lanceur d’alerte, tout en avertissant que d’autres enseignes sont potentiellement menacées.

◆ Les clients doivent rester vigilants

D’après le média Presse-Citron, les messages envoyés par Free à ses abonnés indiquent si ceux-ci sont concernés ou non par ce vol de données. Mais mieux vaut rester prudent, même si l’on semble y avoir échappé. « Les experts en cybersécurité recommandent aux clients Free de redoubler de vigilance, indique le média. Les mesures préventives conseillées incluent la mise à jour systématique des systèmes d’exploitation, l’utilisation d’un gestionnaire de mots de passe robuste, et l’activation de l’authentification à double facteur sur tous les comptes sensibles. La surveillance régulière des relevés bancaires est également préconisée pour détecter toute activité suspecte. »

◆ Risques de prélèvements frauduleux et d’hameçonnage

Le risque de prélèvement frauduleux est confirmé par le juriste Olivier Gayraud dans un reportage diffusé le 28 octobre sur France 2. Selon lui, « le pirate pourrait tout à fait effectuer de faux ordres de prélèvement, de faux mandats de prélèvement, qu’il va utiliser avec l’IBAN qu’il a dérobé ».

Également interviewé lors de ce reportage, SaxX souligne pour sa part le risque de « phishing » (ou hameçonnage) : « C’est quand vous allez recevoir un coup de téléphone ou un SMS ou un mail vous demandant de renseigner encore plus d’informations pour qu’on puisse vous les soutirer », explique le hacker éthique.

◆ Multiplication des cyberattaques : où est la sécurité de nos données ?

Depuis le début de l’année 2024, les piratages de données se sont succédé en France, avec notamment la cyberattaque de France Travail et de Cap Emploi (43 millions de personnes concernées) ou encore celle de Viamedis et Almerys, opérateurs de tiers payant pour les assurances complémentaires de santé (plus de 33 millions de personnes concernées).

Autant dire qu’à force, tous les Français finissent par être les victimes de ces vols de données et des risques qu’ils entraînent, alors qu’on ne cesse de nous vanter la protection de nos données personnelles. Mais au regard de ces multiples incidents, celle-ci laisse objectivement à désirer. Deux conclusions s’imposent : soit les moyens pour y parvenir existent mais ne sont pas réellement mis en œuvre, soit la cybersécurité est une douce illusion dont on nous berce pour mieux nous inciter à participer à la transition vers le tout numérique.

Article par Alexandra Joutel

(Image par Gerd Altmann de Pixabay)

⇔ CHER LECTEUR, L’INFO INDÉPENDANTE A BESOIN DE VOUS !

Nexus ne bénéficie d’aucune subvention publique ou privée, et ne dépend d’aucune pub.
L’information que nous diffusons existe grâce à nos lecteurs, abonnés, ou donateurs.

Pour nous soutenir :

1️⃣ Abonnez-vous
2️⃣ Offrez Nexus
3️⃣ Commandez à l’unité
4️⃣ Faites un don sur TIPEEE ou sur PAYPAL

Découvrez notre dernier numéro

Et gardons le contact :

Retrouvez-nous sur réseaux sociaux
Inscrivez-vous à notre newsletter