Des mois après la cyberattaque contre Free, il est enfin possible de découvrir si vos données ont été piratées. Le site Have I Been Pwned vient en effet d’ajouter toutes les données compromises à son répertoire. On vous explique comment faire.
En octobre dernier, Free a été victime d’une cyberattaque d’ampleur. Des cybercriminels sont parvenus à voler les données de 19 millions d’abonnés, et cinq millions d’adresses IBAN. Avec l’aide d’un complice en interne, les pirates ont pu accéder à un outil de gestion. De fil en aiguille, ils ont pu exfiltrer les informations de la clientèle de l’opérateur.
À lire aussi : Une arnaque Amazon Prime se propage en France – les données des abonnés Free exploitées
Have I Been Pwned ajoute les données volées à Free
Plusieurs mois après les faits, tous les abonnés Free peuvent désormais découvrir avec certitude si leurs données ont été compromises au cours de l’intrusion. Have I Been Pwned, le site open source qui permet à tous les internautes de vérifier si leurs données personnelles sont en sécurité, vient d’ajouter toutes les informations volées lors du hack à son répertoire.
New breach: French ISP “Free” was breached in Oct and the data later published publicly. It contains 14M email addresses along with name, physical address, gender, DoB, phone and for many records, IBAN. 59% were already in @haveibeenpwned. Read more: https://t.co/Ei5fOZPh25
— Have I Been Pwned (@haveibeenpwned) May 27, 2025
Comme l’indique Troy Hunt, le chercheur en sécurité à l’origine de l’initiative, les données de Free ont fini par être divulguées publiquement sur des marchés criminels sur le dark web. D’abord mises en vente, les données ont fini par être partagées en masse sur des plateformes fréquentées par les cybercriminels. C’est pourquoi le chercheur a pu les récupérer, conformément à ses habitudes, pour avertir et informer les personnes touchées.
Dans le détail, Have I Been Pwned s’est enrichi avec 14 millions d’adresses e-mail, de coordonnées postales, de dates de naissance et de numéros de téléphone concernant les abonnés de Free. Le site a également répertorié une grosse quantité d’adresses IBAN liées aux identités compromises. Dans une publication sur X, Troy Hunt précise que 59 % des informations piratées l’automne dernier étaient déjà recensées sur sa plateforme.
Notez qu’un service comme Have I Been Pwned est illégal en France, et dans l’Union européenne. Comme le rappelle le chercheur Clément Domingo, la loi européenne ne permet pas de consulter des données compromises, même à des fins de vérification, comme le fait HaveIBeenPwned. La législation considère qu’il s’agit d’une diffusion non autorisée de données personnelles, ce qui est formellement prohibé. La CNIL (Commission nationale de l’informatique et des libertés) estime que le traitement des données issues d’une fuite, sans le consentement des personnes concernées, constitue une infraction au Règlement Général sur la Protection des Données (RGPD).
CYBERALERT – FRANCE
| Cyberattaque Free : Vous pouvez désormais savoir si vos données personnelles sont dans la nature
Le très célèbre site HaveIBeenPwned, qui répertorie toutes les fuites d’informations dans le monde, vient de rajouter la base de données de l’opérateur… pic.twitter.com/77jeDC2GJJ
— SaxX ¯\_(ツ)_/¯ (@_SaxX_) May 27, 2025
Comment savoir si vous avez été piraté lors du hack de Free ?
Pour vérifier si votre adresse e-mail a été piratée au cours de la cyberattaque contre Free, il vous suffit de la saisir sur le site Have I Been Pwned?. La plateforme va vérifier si des informations liées à l’adresse se trouvent dans son répertoire. Si ce n’est pas le cas, un message en vert apparaitra à l’écran. Si vous avez été piraté, un avertissement en rouge s’affichera. La plateforme précisera lors de quelles fuites votre adresse a été compromise. Le site dévoile aussi toutes les informations compromises qui sont liées à l’adresse, comme votre nom, votre adresse postale ou encore votre numéro IBAN.
On vous recommandera alors de prendre les mesures adéquates pour vous protéger, comme changer vos mots de passe. Le service Have i been Pwned, devenu incontournable au fil des ans, ne conserve pas votre adresse et n’accède à aucun mot de passe associé aux données consultées. Vous pouvez donc vous en servir sans la moindre crainte. Sur le site, l’onglet Notify Me permet de s’inscrire pour recevoir une alerte dès qu’une de vos adresses e-mail apparaît dans une nouvelle fuite de données. On vous recommande de vous inscrire pour éviter les mauvaises surprises.