Fin octobre, Free a t victime d’un piratage historique. Des cybercriminels ont cibl l’un des outils de gestion de l’oprateur et sont parvenus rcuprer les donnes personnelles de plus de 19 millions de clients Free Mobile et Freebox. Il s’agit notamment du nom/prnom, de l’adresse mail et postale, de la date et lieu de naissance, du numro de tlphone ou encore de l’identifiant abonn et des donnes contractuelles. Ils se sont galement empars des IBAN de plus de 5 millions de clients. Comme le veut la loi dans ce genre d’affaire, Free a rapidement notifi l’attaque auprs de la CNIL et de l’ANSSI. Un formulaire en ligne tait cens tre mis en place la semaine dernire, pour faciliter le dpt de plainte des trs nombreuses victimes de la cyberattaque de Free. Mais le projet a finalement t abandonn.
Le 22 octobre, un utilisateur d’un forum bien connu des cybercriminels, annonait disposer de donnes personnelles de millions de clients de loprateur Free. Il disait chercher les vendre au plus offrant.
Le vol de donnes a t confirm quelques jours plus tard par Free. Le fournisseur d’accs Internet a confirm qu’il avait t pirat aprs qu’un cybercriminel se faisant appeler drussellx a mis aux enchres les donnes de ses clients sur ledit forum.
Les noms, prnoms, adresses e-mail et postale, dates et lieux de naissance, numros de tlphone, identifiants abonn et donnes contractuelles de dizaines de milliers de clients ont ainsi t drobs, comme lindiquait Free dans un e-mail transmis ses souscripteurs concerns.
Seulement, selon lingnieur en cyberscurit Clment Domingo, les IBAN (pour International Bank Account Number ), code qui permet didentifier un compte en banque, ont galement t drobs lors de cette attaque.
La nuit dernire 4h30 du matin, le cybercriminel l’origine de la cyberattaque de Free diffus un chantillon de 100 000 IBAN sur les 5,11M qu’il dit dtenir.
Cette nouvelle publication est certainement en raction avec le mail de Free, probablement qu’il a trouv laxiste… et qui ne mentionnait gure la compromission des IBAN…
Son message est de plus sans quivoque avec une photo reprenant le titre du dernier livre de Xavier Niel, « Une sacre envie de foutre le bordel » ! Faut croire que ce cybercriminel est entrain de le faire…
🚨🔴CYBERALERT, 🇫🇷FRANCE 🔴 | Cyberattaque Free, 100 000 IBAN diffuss gratuitement sur le « Amazon de la cybercriminalit » par le mme cybercriminel franais
La nuit dernire 4h30 du matin, le cybercriminel l’origine de la cyberattaque de Free diffus un chantillon de 100 pic.twitter.com/qPzE0Yq5bn
— SaxX \_(ツ)_/ (@_SaxX_) October 27, 2024
Le vol de ces IBAN a t confirm par Free, dimanche, dans un courriel envoy certains de ses clients.
Drussellx a affirm avoir acquis les informations de 19,2 millions d’abonns, dont cinq millions accompagns des IBAN (pour des abonns Freebox uniquement), le 17 octobre 2024. La violation affecte tous les clients FREE Mobile et Freebox, et comprend les IBAN des 5,11 millions d’abonns Freebox , a crit drussellx.
En reconnaissant la faille, FREE a indiqu que l’attaquant avait cibl un outil de gestion qui lui permettait d’accder aux donnes des abonns, mais pas aux mots de passe, aux informations des cartes bancaires ou au contenu des communications. La socit, qui est une filiale du groupe Iliad, a ensuite dpos une plainte pnale et a notifi l’incident la CNIL et l’ANSSI.
L’un des cybercriminels affirme avoir vendu les donnes
Durant le week-end, drussellx a indiqu mettre aux enchres un fichier contenant pas moins de 100 000 lignes, avec des donnes personnelles de clients, dont les IBAN correspondants videmment : Si l’entreprise ne participe pas cette unique vente aux enchres dans les prochains jours, cette copie sera vendue, ce qui entranera de graves consquences pour les clients, et sera probablement divulgue publiquement sur les forums dans un avenir proche , affirmait-il.
Quelques jours plus tard, un autre message est apparu. Celui-ci affirmait que les donnes avaient t vendues aux enchres pour 175 000 dollars. Free thought the DB was free, ils n’ont rien compris , pouvait-on lire.
Mais l’annonce de la vente n’annonait pas la fin de l’histoire, semble-t-il.
Le 1er novembre, un autre utilisateur du forum se faisant appeler how a post que l’auteur du post original avait t arrt et qu’il revendait les donnes pour gagner plus d’argent 35 000 dollars par copie, cinq fois seulement. Il a fourni le mme chantillon de donnes que dans le message original et a invit les gens lui envoyer des messages privs. DataBreaches l’a contact par message priv pour lui poser des questions parce que le message ressemblait une arnaque. Il n’a jamais rpondu DataBreaches mais a retir son message.
Et si les donnes personnelles et bancaires des clients de Free rcupres par un pirate navaient finalement pas t vendues ?
Le 3 novembre, l’histoire a pris une tournure surprenante. DataBreaches a t contact par quelqu’un qui s’est identifi comme YuroSh . Il a affirm tre le pirate responsable de la fuite sur free.fr. Je comprends que cette base de donnes a t prsente la tlvision franaise pendant des semaines, et j’aimerais clarifier quelques dtails , a-t-il dclar, fournissant DataBreaches ce qui semble tre les informations personnelles de Xavier Niel (PDG de FREE) comme preuve prliminaire de son implication.
Interrog, YuroSh a dclar que son rle avait t d’aider exploiter la vulnrabilit. DataBreaches lui a demand de demander drussellx d’envoyer un message priv DataBreaches via BreachForums pour confirmer son implication. drussellx a ensuite envoy DataBreaches un message priv indiquant que YuroSh tait responsable du piratage.
Quel est donc le dtail des rapports des mdias que YuroSh souhaitait clarifier ? Eh bien, selon YuroSh,les donnes n’ont jamais t vendues aux enchres ou vendues tout court – et elles n’allaient pas tre vendues.
Apparemment, YuroSh et drussellx avaient des priorits diffrentes quant l’usage qu’ils feraient des donnes, mais aucun d’entre eux ne voulait vraiment vendre les donnes des gens ou les divulguer. Drussellx aurait voulu extorquer FREE et aurait utilis l’annonce de la mise aux enchres et l’annonce de la vente pour essayer de faire pression sur Free afin qu’il paie l’extorsion. YuroSh, quant lui, semblait plus motiv par l’hacktivisme, dclarant DataBreaches :
Chaque citoyen franais a probablement t victime d’une fuite au moins une fois. Parmi les bases de donnes rcemment pirates figurent Free, SFR, France Travail, Ameli, la CAF (Caisse d’allocations familiales), la FFF (Fdration Franaise de Football), Ledger, LDLC, Shadow et Cdiscount. Je ne suis pas un saint, mais j’espre que l’incident free.fr rveillera enfin les Franais sur la ralit de la surveillance de masse et qu’ils lutteront contre elle. La protection de la vie prive en France a t rode un point tel qu’elle est pratiquement inexistante. Cette situation va au-del d’une simple violation, il s’agit d’un problme systmique, enracin dans un gouvernement dtermin imposer un tat de surveillance. La majorit des gens ne rflchissent pas aux pratiques de surveillance, alors mme que les GAFAM et le gouvernement s’entendent pour contrler tous les aspects de nos vies numriques.
La France est devenue le premier pays d’Europe lgaliser la surveillance biomtrique, soi-disant pour la « scurit publique » lors d’vnements majeurs comme les Jeux olympiques. En vertu de cette nouvelle loi, la police utilise la vidosurveillance algorithmique pour analyser les donnes biomtriques : formes du corps, gestes, mouvements. Ils ont fait passer cette loi pendant une priode de distraction nationale, balayant d’un revers de main les dbats sur les liberts civiles. Il s’agit d’une dcision calcule qui rvle le peu de respect qu’ils accordent la vie prive. Cette dcision ouvre manifestement la voie une nouvelle expansion. Il ne s’agit pas de scurit publique, mais de normalisation progressive de la surveillance de masse.
Les forces de l’ordre franaises sont alles jusqu’ cibler ProtonMail, Tor et d’autres outils de protection de la vie prive, en les qualifiant de criminels. Elles ont rendu l’utilisation de ces protections suspecte, tout en ngligeant les violations relles. Ils prtendent qu’il s’agit de lutter contre les cybermenaces, mais en ralit, il s’agit d’une attaque contre les liberts individuelles.
Leur objectif est le contrle total, et ils ne le cachent pas. Des drones de surveillance des manifestations aux systmes de notation de l’IA qui rduisent les droits sociaux sur la base d’algorithmes mystrieux, chaque nouvel outil rapproche la France d’un tat de surveillance. La vie prive est sous assistance respiratoire, et si les gens ne rsistent pas maintenant, elle pourrait bientt disparatre compltement .
Et YuroSh d’ajouter : Je suis diffrent, je dteste la surveillance et je pense que la seule faon de les rveiller est de les pirater. Sinon, les choses ne changeront pas.
Problmes de scurit passs de FREE
YuroSh a prcis avec exploit une vulnrabilit dans une API. Il a concd que Free a une scurit tout fait convenable pour qui ne creuse pas trop, mais ils sont lents rpondre . Pour lui, la multiplication des dispositifs de surveillance et des bases de donnes associes ne fait quaugmenter le risque de brches. Aussi, il recommande que les entreprises conduisent des audits de scurit et des recherches de vulnrabilits, rguliers, pour identifier les faiblesses dans leurs systmes, si elles veulent vraiment savoir ce qui se passe .
YuroSh dit enfin parfois conserver les donnes pirates, parfois les supprimer. Dans le cas de celles de Free : je ne sais pas encore .
YuroSh a galement affirm que dans le pass, ils avaient envoy FREE des alertes de vulnrabilit qui ont t ignores. En fait, FREE a dj t condamn une amende par la CNIL dans le pass. Le 30 novembre 2022, la CNIL a inflig une sanction de 300 000 euros FREE, pour non-respect des droits des personnes et de la scurit des donnes de ses utilisateurs.
Selon l’annonce de la CNIL, une enqute de la CNIL en rponse des plaintes de consommateurs avait rvl plusieurs violations du RGPD, notamment des mots de passe en clair, et la remise en circulation d’environ 4 100 Freebox mal reconditionnes.
DataBreaches a demand YuroSh si les vulnrabilits qu’ils avaient signales FREE l’avaient t avant ou aprs novembre 2022. Il a rpondu que c’tait aprs cette date, et facilement parce qu’ils n’ont pas bien surveill, nous avons pu envoyer des millions de requtes pendant des semaines .
La CNIL a annonc la mise en place d’un formulaire pour porter plainte… puis s’est rtracte
Dans la foule, la Commission nationale de l’Informatique et des Liberts avait annonc la mise en place d’un formulaire en ligne : si vous avez t aviss de la violation de vos donnes, la suite de la cyberattaque visant loprateur de tlphonie Free, vous avez la possibilit de porter plainte via un formulaire en ligne sans vous dplacer en commissariat ou en brigade de gendarmerie. Ce formulaire sera prochainement disponible depuis le site cybermalveillance.gouv.fr .
la surprise gnrale, la mention du formulaire en ligne, sur la page consacre au piratage de Free de la CNIL, a finalement disparu, sans quaucun formulaire ne soit mis en ligne. La Commission a confirm que le formulaire en ligne ntait plus dactualit depuis la semaine dernire sans pour autant apporter d’explications permettant d’en comprendre la raison.
Sources : CNIL (1, 2), DataBreaches
Et vous ?
Quel rle les entreprises comme Free devraient-elles jouer pour prvenir les cyberattaques ? Les mesures actuelles de scurit dans le secteur des tlcoms sont-elles suffisantes pour rassurer les consommateurs ?
La communication de crise de Free est-elle approprie selon vous ?
Le piratage des IBAN et donnes sensibles doit-il entraner des compensations pour les clients ? Les entreprises doivent-elles prvoir des mcanismes de soutien financier pour leurs abonns en cas de vol de donnes sensibles ?
Comment les utilisateurs peuvent-ils mieux protger leurs donnes personnelles ? Les consommateurs devraient-ils tre davantage sensibiliss et forms aux risques de cybercriminalit ?
Le dploiement dun formulaire de plainte en ligne est-il suffisant en cas de piratage de grande ampleur ? Les consommateurs ont-ils accs des moyens de recours appropris dans de tels cas ?
Voir aussi :