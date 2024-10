Free a bien confirmé un piratage massif, avec le vol des données personnelles de millions d'abonnés, comprenant notamment des IBAN. De quoi permettre des prélèvements frauduleux sur les comptes bancaires.

Ça n'en finit plus ! Depuis quelques semaines maintenant, les entreprises et les organismes français sont victimes de piratages en série, qui aboutissent aux vols de données personnelles des clients et des usagers. Boulanger, Truffaut, Cultura, SFR, l'Assurance retraite ou encore Meilleurtaux... C'est une véritable hécatombe ! Les opérateurs mobiles ne sont pas épargnés. Ils constituent en effet des cibles particulièrement attrayantes pour les cybercriminels, du fait de la quantité colossale d'informations personnelles qu'ils possèdent sur leurs abonnés. Et le piratage que Free vient de reconnaître en cette fin octobre 2024 pourrait bien rester dans l'histoire par son ampleur et ses conséquences.

L'entreprise de Xavier Niel en a déjà fait les frais début octobre, en découvrant un accès non autorisé aux données personnelles de certains de ses clients (voir notre article). Visiblement, la sécurité de son infrastructure n'a pas été renforcée puisque, entre le 26 et le 28 octobre, l'opérateur a envoyé des mails à ses clients pour leur annoncer "un accès non autorisé à une partie de leurs données personnelles associées à votre compte". Une annonce qui intervient quelques jours après qu'un mystérieux hacker ait mis en vente les données de clients Free sur le Dark Web. Et autant dire que le vol est conséquent et touche des données particulièrement sensibles…

Piratage Free : "une sacrée envie de foutre le bordel"

Le premier mail envoyé par Free à ses abonnés mobile est déjà très inquiétant. Il indique en effet que le pirate a dérobé un fichier contenant les noms, prénoms, adresses email et postale, dates et lieux de naissance, numéros de téléphone, identifiants abonnés et données contractuelles (type d'offre souscrite, date de souscription, abonnement actif ou non). Autrement dit, une fiche d'informations personnelles très complète, permettant de réaliser de nombreuses arnaques, par détournement ou usurpation d'identité.

L'opérateur tenait toutefois à assurer que les mots de passe n'ont pas été compromis et que "toutes les mesures nécessaires ont été prises immédiatement pour mettre fin à cette attaque et renforcer la protection de nos systèmes d'information". Une plainte a été déposée auprès du procureur de la République et un signalement à la CNIL a été effectué, comme il est de coutume.

Mais le deuxième message de Free, envoyé cette fois aux abonnés Internet, fait froid dans le dos. Car en plus des données signalées précédemment, il précise que le pirate a eu accès aux IBAN (International Bank Account Number), et donc aux coordonnées bancaires des clients ! Et là, c'est une autre histoire aux conséquences encore plus lourdes.

De fait, les dégâts sont bien plus importants qu'on le craignait initialement, puisque deux nouvelles bases de données ont depuis été mises en vente. L'une d'elles comprend 19 192 948 comptes clients, avec les noms, les prénoms, les numéros de téléphone, les adresses postales complètes, les dates de naissance et les adresses mail des abonnés Free Mobile et des clients Freebox. L'autre fichier recense plus de cinq millions de coordonnées IBAN relatives aux clients de l'opérateur.

Pire encore, le hacker, qui se fait appeler drusselex, a diffusé gratuitement un échantillon de 100 000 IBAN, qui sont accessibles à tous. Il affirme avoir "une sacrée envie de foutre le bordel", en référence au dernier livre de Xavier Niel, le fondateur de Free, et indique qu'une "copie des données est sur le point d'être vendue pour plus de 70 000 $". Il invite d'ailleurs l'opérateur à négocier : "Si l'entreprise ne participe pas à cette enchère unique dans les jours à venir, cette copie des données sera vendue, ce qui entraînera de graves conséquences pour les clients et sera probablement divulguée publiquement sur les forums dans un avenir proche".

Piratage Free : quels sont les risques si votre IBAN a été volé ?

Il est fortement à craindre des campagnes de phishing dans les semaines à venir. En effet, quand ils mettent la main sur des bases de données, les escrocs utilisent des informations personnelles pour adapter leurs pièges et rendre leurs messages plus crédibles, y compris en se faisant passer pour votre opérateur – ici, Free en l'occurrence.

Le fait que les IBAN aient été dérobés peut avoir de graves conséquences. En effet, c'est ce code qui permet de faire des virements sur un compte bancaire – il est utilisé par les employeurs pour verser leur salaire aux employés –, mais aussi de mettre en place des prélèvements ! Et c'est par ces prélèvements SEPA que sont payés les abonnements à divers services (électricité, gaz, eau, forfaits mobile et Internet, plateformes de streaming, etc.) mais aussi les cotisations d'assurances et les impôts. Et comme il n'y a pas de contrôle systématique d'identité pour mettre en place, un pirate possédant l'IBAN et toutes les informations personnelles associées peut très facilement ponctionner un compte bancaire avec un prélèvement. Bref, c'est la porte ouverte à un pillage massif pour tous les clients Free concernés.

Ces informations peuvent également être utilisées pour mener des attaques de SIM Swapping, une arnaque à la mode visant à voler votre numéro de téléphone en se faisant passer pour vous et en commandant une nouvelle carte SIM à votre nom. De cette manière, ils pourront ensuite accéder facilement à vos différents comptes, puisqu'ils recevront directement les codes d'identification à double facteur. Cela leur permettra également de passer des appels surtaxés en direction de numéros qu'ils ont créés, ce qui peut vous valoir une facture téléphonique de plusieurs centaines d'euros.

Ces informations pourront également permettre aux cybercriminels de mener des arnaques aux faux conseillers, en prétextant un problème de prélèvement pour demander un paiement immédiat par carte bancaire, par téléphone ou par email. Pire encore, les pirates pourront aussi directement prélever de l'argent sur votre compte bancaire, en usurpant votre identité et en demandant à votre banque l'autorisation de débiter votre compte. Autant dire que les pertes financières peuvent vite se révéler assez importantes…

Piratage Free : que faire si vous êtes client chez l'opérateur ?

Ce n'est pas la première fois que Free est victime d'un piratage ! En plus de l'intrusion début octobre, le même scénario s'était déjà produit en février dernier (voir notre article). De plus, une faille avait permis en mars à des clients de consulter les factures d'autres abonnés Freebox depuis leur espace client. Autant dire que cela commence à faire beaucoup, surtout au vu du nombre de clients concernés !

Bref, si vous êtes un abonné de l'opérateur, redoublez de vigilance dans les prochaines semaines et comme toujours, ne répondez pas précipitamment aux e-mails, SMS, appels, et même courriers recommandés dont vous ne connaissez pas l'expéditeur ou qui vous paraissent suspects. Prenez le temps de vérifier l'identité de l'interlocuteur avant de faire quoi que ce soit !

Surtout, surveillez vos mouvements bancaires afin de repérer tout prélèvement frauduleux, étant donné que les escrocs ont dérobé les IBAN. En cas de prélèvement inhabituel repéré, vous pouvez contester le débit frauduleux dans les treize mois qui le suivent. Votre banque est tenue de vous rembourser l'argent dérobé.