Mise à jour du 14 septembre à 14h25 :
Free vient de démentir les assertions du pirate. Interrogé par Frandroid, l’opérateur affirme que « l’information selon laquelle une base d’abonnés Free de 14m d’abonnés est en ligne est fausse ». Le FAI concède cependant avoir été victime d’une attaque de petite ampleur :
« Ce qui a été publié correspond à des infos liées à un incident identifié au mois d’août par nos systèmes de surveillance. Un accès salarié (compromis par un hackeur) a permis de récupérer quelques fiches d’abonnés toutes situées dans le 75018 ou 75019 ».
La société précise avoir prévenu les abonnés concernés par le piratage et la CNIL, comme le prévoit le RGPD, le règlement général sur la protection des données en Europe. Enfin, Free a déposé une plainte pénale contre l’attaquant.
Article original
_______________________________________________
Nos confrères de Zataz ont découvert qu’un pirate a mis en vente les données personnelles des clients de Free. Le hacker, qui se fait appeler Dépressif, affirme avoir mis la main sur une base de données concernant les 14 millions d’abonnés de l’opérateur en France. Sur un forum de cybercriminels, il explique :
« L’un des plus grands fournisseurs d’accès Internet français, avec plus de 14 millions de clients. Je vends uniquement une copie de ces données ».
Dans l’annonce, il précise que la copie sera vendue à une seule personne en échange de plusieurs centaines de dollars en cryptomonnaies. Sans surprise, le pirate exige un paiement en Monero, une devise numérique anonyme. Contrairement au Bitcoin, où les transactions sont publiques et traçables, Monero permet des échanges complètement anonymes. Les identités de l’expéditeur et du destinataire, ainsi que le montant de la transaction, sont masqués. C’est pourquoi la cryptomonnaie est massivement utilisée par les pirates.
À lire aussi : Après les émeutes, des pirates ont divulgué les données de 1000 magistrats français
Des informations sensibles, mais périmées ?
La base de données, qui pèse 2,9 Go, contient des informations sensibles, comme le nom, le numéro de téléphone, l’adresse mail et l’adresse de résidence. Le pirate s’est bien gardé d’évoquer la source des données volées. Pour Zataz, les informations pourraient provenir d’un call center de l’opérateur ou d’une interface de programmation d’application.
Armé de ces données, un cybercriminel peut aisément déployer des attaques phishing, ou hameçonnage en français, taillées sur mesure. En évoquant des informations avérées sur ses cibles, un hacker peut endormir la méfiance de ses victimes et, in fine, parvenir à leur voler de l’argent.
Le rapport de Zataz pointe aussi du doigt les risques liés au spam téléphonique. Concrètement, les abonnés pourraient être contactés par un criminel qui se fait passer pour un conseiller bancaire. On peut aussi imaginer qu’un hacker usurpe l’identité du service client Free. En manipulant son interlocuteur, le pirate pourrait tenter d’extorquer des coordonnées bancaires, comme des numéros de carte de crédit. Ce type d’arnaques est particulièrement répandu.
De plus, il est aussi possible que les données soient exploitées pour mener une attaque par force brute. En pratique, le cybercriminel emploie des algorithmes qui vont essayer toutes les combinaisons possibles pour déchiffrer votre mot de passe. Il existe des logiciels qui, en fonction de la complexité du mot de passe, peuvent compromettre un compte en ligne en quelques minutes ou en quelques heures. Pour orchestrer une telle attaque, le seul élément requis est votre adresse email.
Pour prouver ses dires, le vendeur a mis en ligne un échantillon des données. Les experts de Zataz ont soigneusement épluché celui-ci pour en déterminer l’authenticité. Étrangement, le fichier ne répertoriait que « des résidents parisiens des 18ᵉ et 19ᵉ arrondissements ». Surtout, il semble qu’au moins une partie des données volées ne sont plus d’actualité. Plusieurs des clients répertoriés révèlent avoir résilié leur abonnement Free il y a des années. D’autres précisent que l’adresse de résidence n’est plus valide. Il est possible que les données remontent à plusieurs années.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Zataz
“Plusieurs des clients répertoriés révèlent avoir résilié leur abonnement Free il y a des années.”
Il y aurait donc un manque dans le respect des règles de conservation des données. Lorsque l’on est client avec un contrat en cours, il est normal qu’ils disposent de ces données. Mais plusieurs années après résiliation démontre une atteinte aux règles en vigueur, comme se fait-il qu’ils disposent encore de ces données clients alors qu’ils ont résilié et après tant d’années ? Un dossier pour la CNIL.
Depuis des mois je reçois des mails dit indésirables et ça empire depuis quelques semaines. Je reçois plus de 100 mails indésirables depuis environ 4 mois et depuis fin août ça empire. Cliente free depuis des années ça me fait en colère
C’est la politique de confidentialité de Fre
ci-dessous un extrait
“4. COMBIEN DE TEMPS CONSERVONS-NOUS VOS DONNEES PERSONNELLES ?
Vos données personnelles sont strictement confidentielles et sont conservées pendant le temps nécessaire à la réalisation des finalités qui vous ont été présentées ou selon les durées légales et règlementaires applicables.
Plus spécifiquement, nous conservons :
jusqu’à cinq ans à compter de la fin de la relation contractuelle de façon générale (ex : exception pour les factures, 10 ans) les données personnelles nécessaires à la réalisation des finalités de fourniture des services et la gestion du contrat ;
jusqu’à 6 mois les données personnelles nécessaires à la réalisation des finalités de personnalisation de votre service TV Free by OQEE ;
pendant 3 ans à compter de la fin de la relation contractuelle ou de votre opposition les données nécessaires pour les finalités de communications commerciales et de prospection ;
pendant maximum 13 mois les données nécessaires pour les finalités d’envoi de publicités adaptées à vos centres d’intérêts (services TV et sites internet).
“
Merci pour ces précisions !
je ne comprend pas pourquoi je paye 48,80€ tous les mois en août j’ai payé 88,80 pour avoir téléphoné 2fois je vais en parler avec les réseaux sociaux c’est pas normal
Toutes mes adresses mail reçoivent des fausses pub, faux colis, faux gains, faux cadeaux, au début les adresses free, ensuite celles de gmail, seules les adresses la poste ne sont pas contaminées. Aujourd’hui, tout ce qui m’est envoyé va directement à la corbeille sans les regarder. Il va falloir vraiment faire le ménage si les annonceurs veulent qu’on s’intéresse à eux.
Sans compter nos renseignements qui sont vendu à des sociétés commerciales ces pour cela que l on reçoit des appels publicitaires et les commerciaux connaissent tout de nous,adresse,e-mail numéro de téléphone.parfois la banque utilisé même celle qui ne serre pas à payer sur le net!a qui profite le crime?