L’affaire du vol des données de l’ensemble des 19 millions d’abonnés Free a connu plusieurs rebondissements ces deux dernières semaines. Ce ne serait pas si grave, à en croire les pirates qui n’auraient pas l’intention finalement de les vendre. Sauf que ce n’est pas si simple.
au sommaire
Le 17 octobre, un utilisateur du nom de Drussellx a publié une annonce sur un forum de piratage indiquant la mise en vente d'une base de données contenant les informations personnelles des abonnés Free. Et pas seulement un petit nombre d'abonnés, cela concerne les 19,2 millions d'abonnés et inclut l'IBAN de 5,11 millions d'abonnés Freebox.
Pour prouver qu'il détenait bien ces informations, il a publié les données d'un échantillon de 100 000 personnes, y compris leur IBAN. Free a confirmé le vol de données dans un mail aux abonnés le 25 octobre, avec un deuxième mail le 27 octobre qui confirme le vol des IBAN. Un nouveau message quelques jours plus tard indiquait que les données avaient été vendues pour 175 000 dollars.
Un vol de données pour alerter sur la surveillance de masse en France ?
Toutefois, le site DataBreaches a été contacté le 3 novembre par un acolyte de Drussellx qui utilise le pseudonyme YuroSh. Celui-ci indique que les données n'ont pas été vendues. Les deux hackers auraient des philosophies différentes. Drussellx souhaite faire chanter Free, tandis que YuroSh serait un hacktiviste, qui souhaite mettre en lumièrelumière la surveillance de masse en France, comme la loi qui a autorisé l'utilisation de l'intelligence artificielle dans la vidéosurveillance pendant les Jeux olympiques, et une criminalisation des outils de protection de la vie privée comme ProtonMail et TorTor. « Je suis différent, je déteste la surveillance et je pense que le seul moyen de les réveiller est de les pirater. Sinon, les choses ne changent pas », a déclaré YuroSh.
Les deux pirates ont déclaré que la sécurité laxiste chez Free leur a permis d'envoyer des millions de requêtes pendant des semaines pour voler les informations des abonnés. Free avait déjà été condamné en 2022 par la Cnil pour des problèmes de sécurité des données et notamment pour avoir conservé les mots de passemots de passe en texte clairtexte clair, une pratique qui n'a pas changé encore aujourd'hui. Et les deux compères n'ont pas ciblé Free par hasard. YuroSh a affirmé qu'ils avaient déjà alerté le fournisseur d'accès sur des failles de sécurité par le passé, sans que celui-ci ne réagisse.
Les données de 100 000 personnes, au moins, déjà dans la nature
Les hackers indiquent ne pas avoir l'intention de vendre les données de Free finalement, mais ils n'ont pas dit s'ils allaient les détruire. Et nous n'avons que leur parole... De plus, DataBreaches a depuis été contacté par un autre individu qui accuse YuroSh de mentir et indique que les données ont déjà été vendues une fois. Les spécialistes du site mènent l'enquête pour confirmer ses dires.
Les données de 19 millions de Français sont donc toujours entre les mains des pirates et ont peut-être été vendues, ou pourraient l'être à l'avenir. Dans tous les cas, cela ne change rien au fait que les données de 100 000 personnes, contenant entre autres leur IBAN, ont bel et bien été publiées initialement. Si théoriquement l'IBAN seule ne suffit pas à ponctionner le compte d'une personne, les criminels peuvent employer différentes techniques en les combinant avec les autres informations dérobées.
Si vous êtes abonné chez Free, et même de manière plus générale, il faudra donc penser à vérifier vos comptes bancaires de temps à autre et vous méfier de toute personne qui vous contacte, même si elle détient des informations vous concernant.