On en sait enfin un peu plus sur les circonstances de la cyberattaque contre Free. Selon l’enquête d’un chercheur, la fuite massive de données repose sur des identifiants divulgués par un complice en interne.
Il y a deux mois, Free a été victime d’une cyberattaque. Des cybercriminels sont parvenus à s’emparer des données de 19 millions d’abonnés, et de cinq millions d’adresses IBAN. L’opérateur de Xavier Niel a rapidement confirmé qu’un « outil de gestion » a été visé. L’intrusion a abouti à « un accès non autorisé » aux données des clients. Free ne s’est pas étendu plus longuement sur les circonstances à l’origine du piratage.
🚨🔴CYBERALERT, 🇫🇷FRANCE🔴 | Cyberattaque Free : Tout par d’un agent (complice) qui a donné ses identifiants au cybercriminel😬🤯⤵️
La cyberattaque de l’opérateur Free en France aura marqué tous les esprits.
Depuis, énormément d’infos m’ont été remontées… Après…
— SaxX ¯\_(ツ)_/¯ (@_SaxX_) December 6, 2024
Plusieurs semaines après les faits, le chercheur en cybersécurité Clément Domingo a levé le voile sur la manière dont les pirates sont parvenus à leurs fins. L’expert indique « qu’énormément d’infos » lui ont été communiquées.
À lire aussi : retour sur les 10 cyberattaques qui ont marqué la France en 2024
Un complice à l’origine de la fuite de données Free
Après « investigations et recoupement », le chercheur peut affirmer que la cyberattaque repose sur un complice en interne. En effet, un agent d’un service client de Free, à savoir le service de proximité Free Proxi et Free Back Office, aurait donné ses identifiants OpenVPN à une tierce personne. Il se pourrait que ce tiers ne soit autre que le hacker.
Comme le souligne Clément Domingo, les agents des services de Free ont accès à « 2 bases de données et 2 outils de diagnostic », à savoir Mobo pour les abonnés Free Mobile et Siebel pour les clients Freebox. Ces informations et ces outils sont indispensables pour venir en aide aux abonnés Free qui rencontrent des problèmes avec leurs forfaits.
Pour accéder à ces bases de données, les agents doivent impérativement se connecter à des ordinateurs du service informatique de Free. Il n’est pas possible que les agents consultent les données personnelles des clients sur leurs appareils personnels. C’est une mesure de sécurité. De plus, « cela permet de bosser sur une zone prédéfinie selon leur zone d’habitation pour assurer un service de proximité de qualité », explique le chercheur.
Le déroulement de l’attaque
L’accès OpenVPN a servi de porte d’entrée au système informatique de Free. Le VPN permet aux employés d’accéder aux ressources internes de l’entreprise, comme les bases de données et les outils de diagnostic. En disposant des identifiants OpenVPN, le cybercriminel peut se connecter au réseau sécurisé comme s’il était un employé autorisé. Notez que des identifiants VPN compromis font d’ailleurs partie des portes d’entrée préférées des pirates, surtout des criminels spécialisés dans les ransomwares.
Armé du compte de son complice, le pirate est entré en contact avec « plusieurs autres agents Free » en se faisant passer pour le service informatique. Avec un accès aux ressources internes, il a pu orchestrer une attaque d’ingénierie sociale. En clair, il a manipulé des agents Free pour obtenir leurs identifiants. Certains des agents sont tombés dans le piège. C’est comme ça que le cybercriminel a réussi à dérober une montagne de données personnelles sur les abonnés Free.
Free prend des précautions
Dans le cadre de cette attaque, les identifiants OpenVPN ont permis à l’attaquant d’endormir la méfiance de ses cibles. Le VPN facilite aussi le travail des employés en leur permettant de travailler depuis leur domicile. Suite à cette fuite de données d’envergure, Free a suspendu la possibilité d’accéder aux données aux employés en télétravail. Il faut impérativement se trouver sur place pour consulter les informations personnelles de la clientèle du groupe.
Par ailleurs, Free a révoqué tous les accès compromis, avant de générer de nouveaux identifiants. Aux dires du chercheur, la fuite était connue « en interne bien avant les annonces publiques ». Quoi qu’il en soit, la fuite des données personnelles des abonnés Free s’est accompagnée d’une explosion des arnaques. De nombreux cybercriminels se servent en effet des données pour orchestrer des escroqueries. Le plus souvent, ils se font passer pour des conseillers clientèle.
En parallèle, Free a fait l’objet d’une montagne de plaintes auprès de la Commission nationale de l’informatique et des libertés (CNIL). Interrogé par Ouest-France, Mathias Moulin, secrétaire général adjoint de la CNIL, indique que le régulateur a reçu « plus de 2 000 plaintes à ce stade » à la suite de la cyberattaque. L’enquête de la CNIL se poursuit.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.