Passer au contenu

Cyberattaque contre Free : la situation empire avec 100 000 IBAN compromis

Les conséquences de la cyberattaque contre Free se précisent. Peu après la fuite, le cybercriminel a publié un échantillon de 100 000 IBAN sur un forum de piratage. Le hacker cherche à faire grimper les enchères en mettant la pression sur le télécom. Cette fuite expose des millions de clients à des risques d’escroqueries et de prélèvements frauduleux.

Free a été victime d’une fuite de données. Comme l’a confirmé l’opérateur, un pirate est parvenu à pénétrer au sein d’un de ses outils de gestion pour exfiltrer une montagne de données personnelles sur ses abonnés.

Quelques jours après la fuite, un cybercriminel a mis en vente la base de données, qui comprend 19 192 948 de comptes clients, sur un marché noir. Plus récemment, le pirate a diffusé gratuitement un échantillon de 100 000 IBAN appartenant à la clientèle de Free sur BreachForums, une plaque tournante des données compromises.

À lire aussi : Une fuite de données touche l’un des plus grands gestionnaires d’actifs au monde

Plus de 5 millions d’adresses IBAN piratées

Dans la publication, que 01Net a pu consulter, le hacker affirme avoir « une sacrée envie de foutre le bordel », en référence au dernier livre de Xavier Niel, fondateur de Free. Le cybercriminel, qui se fait appeler drussellx, prétend détenir plus de cinq millions d’adresses IBAN relatives aux abonnés Free.

Avec cet échantillon, le pirate cherche à faire la publicité pour le répertoire mis en vente la semaine dernière. Il ajoute d’ailleurs qu’une « copie des données est sur le point d’être vendue pour plus de 70 000 $ », et invite Free à négocier :

« Si l’entreprise ne participe pas à cette enchère unique dans les jours à venir, cette copie des données sera vendue, ce qui entraînera de graves conséquences pour les clients et sera probablement divulguée publiquement sur les forums dans un avenir proche ».

Le pirate réagit au mail de Free

De l’avis du chercheur en cybersécurité Clément Domingo, « cette nouvelle publication est certainement en réaction avec le mail de Free, probablement qu’il a trouvé laxiste… et qui ne mentionnait guère la compromission des IBAN ». Free s’est en effet bien gardé de prévenir ses abonnés du vol des adresses bancaires dans son mail.

« Depuis leur dernier communiqué de presse, ils n’ont pas été en mesure de confirmer que ceux-ci ont également été compromis, à moins qu’il ne s’agisse d’une stratégie de communication pour ne pas effrayer les clients », tacle le pirate à l’origine du hack sur BreachForums.

Peu après la mise en ligne de l’échantillon, l’opérateur de Xavier Niel a cependant pris la peine d’officialiser le vol des comptes IBAN dans une seconde communication par mail. Le groupe a corrigé le tir en ajoutant simplement la mention IBAN à la longue liste des données exfiltrées.

Le danger des IBAN compromis

La fuite des IBAN fait peser de lourdes menaces sur les clients de Free. Dans une réaction adressée à 01Net, Marijus Briedis, chef de la technologie de NordVPN, souligne que l’IBAN (International Bank Account Number), le numéro international qui permet d’identifier un compte bancaire, peut servir de point de départ à une panoplie d’escroqueries : 

« Les IBAN associés aux identifiants abonnés et données contractuelles pourront faciliter une arnaque aux faux conseillers. Ces derniers pourraient prétexter un problème de prélèvement et demander un paiement immédiat par carte bancaire par téléphone ou email ». 

Pire, les pirates peuvent aussi directement prélever de l’argent sur votre compte bancaire.  En effet, « avec un IBAN et des données personnelles précises, on peut également lancer des ordres de prélèvements ». En clair, les cybercriminels peuvent se faire passer pour vous et demander à votre banque l’autorisation de débiter votre compte.

Pour rappel, Free a averti les autorités compétentes peu après l’intrusion dans ses systèmes. Le trublion des télécoms indique que la Commission nationale de l’informatique et des libertés (CNIL), l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et le procureur de la République ont été saisis.

Pour Clément Domingo, il s’agit du « plus gros hack d’un opérateur de téléphonie en France », devant le piratage de SFR et la précédente brèche d’informations essuyée par Free. En miroir de Free et SFR, de nombreuses entreprises françaises se sont retrouvées assaillies par les cybercriminels au cours des derniers mois. Au troisième trimestre 2024, les vols de données se sont même accélérés avec 17,2 millions de comptes piratés. Pour Clément Domingo, ce sont les données de huit Français sur dix qui se baladent sur des marchés noirs, à la merci des cybercriminels…

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Florian Bayard
Votre opinion
  1. Bande d’incapables, la moindre des choses est de chiffrer nos données les plus sensibles. À défaut de chiffrer nos noms/prénoms, faites le au moins pour nos coordonnées bancaires, merde. On en a ras-le-bol de toutes ces fuites et tous ces éditeurs de sites qui ne prennent pas la sécurité au sérieux, ils vont encore nous faire croire tout leur bullshit “blablabla, nous prenons la sécurité de nos abonnés et au sérieux, et blablabla tout est mis en œuvre…blablabla” ! Les abonnés devraient se réserver le droit de porter plainte contre Free.

    1. Tout à fait. La loi devrait prévoir une indemnisation systématique automatique pour préjudice morale et psychologique à chaque vol de la moindre donnée (et ensuite si préjudice financier par la suite) + amende minimum basé sur une fraction du CA. C’est de la responsabilité des entreprises de protéger nos données. La loi est beaucoup trop laxiste sur ce point.

    2. BONJOUR; OUI IL FAUT PORTER PLAINTE CONTRE CEUX QUI NE PROTÈGENT PAS NOS DONNÉES C’EST OBLIGATOIRE. SI TOUT LE MONDE PORTAIT PLAINTE, ILS FERAIENT LE NÉCESSAIRE ET LES PIRATES N’AURONT PLUS RIEN A SE METTRE SOUS LA DENT …

  2. Je suis moi aussi toujours surpris de voir que “des outils de gestion” soient aussi facilement consultables. Séparation des machines, codages, filtres ne sont quand même pas faits pour les chiens. Finalement compte tenu de la médiocrité des services proposés, c’est facile d’être le moins cher.

    1. Je trouve que c’est une honte que nos données soit pas protégés, free nous dis que c’est à nous de faire attention nos compte bancaire et nous dis c est pas grave la banque rembourse on a 13 mois pour réclamer et de porter plainte.
      En gros c’est à nous de débrouiller.

  3. 1- Le hacker affirme avoir « une sacrée envie de foutre le bordel », en référence au dernier livre de Xavier Niel, fondateur de Free. Il a surtout envie de gloire et de pognon.
    2- Pour ce qui est des IBANs. Un opérateur de la hot-line de Free dédiée à la cyberattaque m’indique à l’instant que la raison qui explique que certains clients n’ont reçu que le premier courriel indiquant l’attaque et ce qu’elle impliquait mais pas le second lequel mentionne explicitement les IBANs, est que cette seconde n’est adressée qu’aux clients concernés par le vol avéré de l’IBAN en sus des autres données: faut-il comprendre que le pirate n’aurait pas mis sur autant d’IBANs que de données clients autres ? Il m’indique une équipe en effervescence (on le conçoit aisément) et m’assure que ceux d’entre-nous concernés par leur IBAN seront aussitôt avertis par FREE (second courriel) ; il me confirme en outre que les mots de passe ne sont pas concernés : ainsi, avec la 2FA, l’intrusion dans le compte FREE n’est pas en jeu. Reste l’IBAN, et ça c’est, comme l’indique l’article, autrement embêtant. À suivre.

  4. À tous les coups, des petits malins vont mettre l’IBAN des autres sur le site des impôts
    (À autorisation systématique )
    Contactez vos banques, demandez à changer d’IBAN

  5. Si les banques doivent mettre en place un développement spécifique pour sécuriser les mandats, ou si un client free se fait arnaquer à l’aide de son iban, il faut que ce soit free qui paye! A quand le dépôt de plainte à l’encontre de free de la part des banques ?

  6. Tout a fait d’accord. Des données étonnamment non cryptées ou confiées à un sous-traitant non suffisamment contrôlé. Pas une semaine ne se passe sans une annonce de cyberattaque.
    Il y a urgence de se constituer en groupe d’action afin de porter plainte contres ces incapables qui exposent des millions de français à l’usurpation d’identité voire pire!

  7. S’ils sont capables de protéger les mots de passe, pourquoi n’en font-ils pas autant pour le reste des données ???

  8. J’espère que free va être sévère condamné pour cette incompétence, la loi les rend responsable de la protection des données qu’ils collectent. Comment expliquer qu’un si grand groupe ne dispose pas de LPD compétents ? A force de vouloir faire des économies, on voit ou sa mène. Il faudrait que free soit contrait de rembourser sans délai les clients qui seront victimes de prélèvements indus. Incroyable cette histoire !!!

Les commentaires sont fermés.