L’opérateur internet Free a connu à la fin du mois d’octobre une fuite de données majeure. Ce que le fournisseur d’accès a confirmé. Mais le sort de ces données reste aujourd’hui délicat à déterminer.
Sur le site spécialisé dans l’échange de données volées Breachforums, un utilisateur sous le nom de Drusselx avait proposé le 22 octobre une archive provenant selon lui du piratage de l’opérateur.
L’archive en question contenait selon l’auteur du post les données de 19 millions de clients, dont 5 millions d’IBAN. Une semaine plus tard, il affirmait avoir vendu ces informations pour la somme de 175 000 dollars.
Fuites de données, et après?
Mais le site Databreaches avance une autre possibilité. Un autre hacker impliqué dans la fuite de données, la vente n’aurait tout simplement pas eu lieu. Connu sous le pseudonyme de Yurosh, ce nouveau venu dans l’affaire affirme avoir travaillé avec Drusselx pour exploiter la faille de sécurité à l’origine de la fuite de données. Databreaches est parvenu à obtenir la confirmation auprès de Drusselx que Yurosh avait bien participé au piratage de l’opérateur.
Yurosh assure que les deux auteurs de ce piratage n’ont jamais eu l’intention de vendre les données aux plus offrant. Mais qu’ils étaient en désaccord sur les suites à donner au piratage. Drusselx envisageait d’utiliser les données volées pour extorquer une rançon auprès de Free. Yurosh présente son action comme un moyen de réveiller le public sur les enjeux liés à la surveillance. Contacté par LeMagIT, Yurosh a confirmé les proposés rapportés par Databreaches, tout en expliquant au passage avoir exploité une vulnérabilité dans une API pour accéder aux données.
La version de Yurosh reste néanmoins à prendre avec des pincettes. Databreaches a annoncé hier avoir été contacté par un autre internaute assurant au contraire que les données avaient bien été vendues, échantillon à l’appui. Pour l’instant, mieux vaut donc rester prudent sur le sort exact des données volées.
Lettre-plainte restée lettre morte
L’autre interrogation qui reste à éclaircir concerne cette fois la réponse des autorités à cet incident. La CNIL avait initialement mentionné la mise en place d’un formulaire permettant d’automatiser le dépôt de plainte pour les victimes de cette fuite de données.
Ce type de dispositif avait déjà été mis en place lors des fuites de données ayant visé l’APHP en 2021 ou les prestataires de tiers payant en début d’année 2024.
Mais finalement, ce formulaire est aux abonnés absents. La mention de celui-ci a été retirée en début de semaine sur le site de la CNIL. Les personnes affectées peuvent toujours déposer plainte de manière classique sur le site de la CNIL, ou dans un commissariat s’ils estiment avoir constaté une utilisation frauduleuse de leurs données personnelles.