Une amende de 27 millions d’euros pour Free Mobile, et de 15 millions d’euros pour Free : ce mercredi 14 janvier, la Commission nationale de l’informatique et des Libertés (CNIL) a annoncé, dans un communiqué, avoir sanctionné l’opérateur pour ses « mesures prises pour assurer la sécurité des données de leurs abonnés » jugées inadaptées. La décision, prise le mardi 13 janvier, vient clôturer l’enquête sur les pratiques de Free après la cyberattaque d’ampleur d’octobre 2024.
Pour rappel, des cybercriminels étaient parvenus à pénétrer au sein d’un outil de gestion, avec l’appui d’un complice en interne. Une fois dans l’outil, les pirates informatiques avaient dérobé les données de 19 millions d’abonnés, ainsi que cinq millions d’adresses IBAN. Ces informations avaient ensuite été utilisées dans le cadre d’arnaques en tout genre.
Une « méconnaissance de principes essentiels en matière de sécurité » sanctionnée
La CNIL avait alors ouvert une procédure, soupçonnant des manquements au RGPD (Règlement général sur la protection des données). Le gendarme des données avait diligenté une série d’inspections dans les locaux de l’opérateur à Paris. Le résultat de ces investigations est tombé ce jour.
La CNIL sanctionne la société Free Mobile d’une amende de 27 millions d’euros et la société Free d’une amende de 15 millions d’euros, une décision que l’opérateur, que nous avons contacté, « conteste vivement ». Les amendes prononcées sont décrites comme étant « d’une sévérité inédite sans commune mesure au regard des précédents en matière de cyberattaques ». La société de Xavier Niel compte « déposer un recours devant le Conseil d’État afin de faire valoir (ses) droits et obtenir la révision de cette décision ».
Pour justifier ces montants élevés, l’autorité indépendante met en avant, dans son communiqué, « les capacités financières » des sociétés, « la méconnaissance de principes essentiels en matière de sécurité », le « nombre de personnes concernées » par la fuite des données, ainsi que « le caractère “hautement” personnel des données compromises ainsi que les risques engendrés par la fuite de certaines données (IBAN) ».
Détection de comportements anormaux sur le système d’information inefficaces, communication aux abonnés incomplète…
Le jour de l’attaque, Free n’avait pas « mis en œuvre certaines mesures élémentaires de sécurité, qui auraient pu rendre l’attaque plus difficile », note la CNIL. Sont notamment relevées une « procédure d’authentification pour se connecter au VPN » des deux sociétés insuffisamment « robuste », et des « mesures » de détection « des comportements anormaux sur leur système d’information inefficaces ».
Deuxième problème soulevé : après la cyberattaque, la communication de Free à ses abonnés, touchés par la fuite des données, ne permettait notamment pas à ces derniers « de comprendre directement les conséquences de la violation, ainsi que les mesures qu’ils pouvaient mettre en place pour se protéger de celles-ci ». Enfin, la CNIL a considéré que Free « avait conservé des millions de données de ses abonnés, sans justification, pendant une durée excessive », des données qui auraient dû être supprimées.
En amont, l’opérateur avait indiqué avoir corrigé toutes les brèches identifiées par la CNIL. Free confirme ce mercredi avoir « renforcé (son) architecture de sécurité, les contrôles d’accès, et mis en place une surveillance renforcée en temps réel. Les données de (ses) abonnés sont protégées par des systèmes répondant aux standards de sécurité les plus élevés ».
En 2022 déjà, le gendarme des données personnelles avait épinglé la société de Xavier Niel pour sa gestion des données personnelles de ses abonnés. Il y a plus de trois ans, Free avait été obligé de régler une amende de 300 000 euros.
Note de la rédaction : cet article a été modifié pour ajouter la réaction de Free.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
