Let’s go ! Les données des clients de Free ont bien compris le message.
Entrer au conseil d’administration de TikTok, remplir l’Olympia pour se faire plaisir ; Xavier Niel a t-il oublié les fondamentaux des TIC ? Un pirate informatique lui, a semble t-il décider de vraiment « foutre le bordel » chez Free.
La semaine dernière le pirate en question mettait en vente des données dérobées chez Free, sans que la société ne communique sur le vol.
Et il aura fallu quelques jours pour que l’opérateur, via des courriels envoyés à ses clients, admette le vol de données.
Audit trop rapide ?
Audit trop rapide ? Besoin de minimiser la portée du casse ? Le premier message de la société omettait le vol des IBAN des clients Free, préférant appesantir sur la peine encourue par le pirate. « L’auteur de ce délit s’expose à une peine de 5 ans d’emprisonnement et de 150 000 € d’amende » mentionne l’opérateur.
Dans son mail officiel envoyé aux abonnés, Free assurait en effet que des données personnelles comme les noms, prénoms, adresses, et numéros de téléphone avaient été compromises. Mais que les informations bancaires des clients, notamment les IBAN, n’étaient pas concernées.
Le voleur, visiblement remonté, a donc diffusé un échantillon de 100 000 IBAN dérobés, accompagnés d’un message explicite. Il estime que Free cherche à minimiser l’ampleur de la cyberattaque.
« Avertissement »
« La nuit dernière à 4h30 du matin, le cybercriminel à l’origine de la cyberattaque de Free à diffusé un échantillon de 100 000 IBAN sur les 5,11M qu’il dit détenir » indique SaxX sur X. « Cette nouvelle publication est certainement en réaction avec le mail de Free, probablement qu’il a trouvé laxiste… et qui ne mentionnait guère la compromission des IBAN… »
« On apprend aussi que la base de données serait désormais à vendre pour la somme de 70 000$… Pour rappel, les enchères avaient débutées à partir de 10 000€ ! » précise l’auteur du compte qui le premier avait annoncé l’affaire.
Ce geste, que le pirate qualifie « d’avertissement », vise à prouver aux abonnés de l’opérateur que leurs coordonnées bancaires pourraient être en circulation, contrairement à ce qui leur a été initialement indiqué. Selon le pirate, les données sont toujours à vendre.
Un IBAN est-il dangereux ?
L’opérateur a donc renvoyé un courriel a ses abonnés pour préciser que les données bancaires avaient été également dérobées.
« Cette attaque a entrainé un accès non autorisé à une partie des données personnelles associées à votre compte abonné : nom, prénom, adresses email et postale, numéro de téléphone, identifiant abonné, IBAN et données contractuelles (type d’offre souscrite, date de souscription, abonnement actif ou non) » dit à présent Free. « Aucun de vos mots de passe n’est concerné » se permet de rajouter l’entreprise de Xavier Niel.
L’opérateur explique aussi que la simple divulgation d’un IBAN ne permet pas de prélèvements directs sans autorisation supplémentaire. Certes.
Mais un IBAN rendu public peut être exploité dans le cadre de fraudes complexes. Et ce vol remet en question, sans explication supplémentaire de l’opérateur, la confiance que ses clients lui accordent en matière de protection des données.
Fin septembre, c’est SFR qui était victime d’une fuite de données. Là aussi, les IBAN s’étaient fait la malle.
Que faire pour les abonnés de Free ?
Free recommande évidemment à ses clients de faire preuve de vigilance face aux risques accrus de phishing et d’autres arnaques en ligne qui pourraient utiliser leurs données personnelles.
« Nous vous invitons à la plus grande vigilance face au risque d’emails, SMS ou appels frauduleux. Sachez que nos conseillers ne vous demanderont jamais vos mots de passe à l’oral » indique Free.
Les abonnés sont invités à consulter le site Cybermalveillance.gouv.fr pour obtenir de l’aide en cas de suspicion de tentative de fraude mais également à joindre le numéro vert mis à leur disposition : 0805 921 100