Piratage Free : les données des abonnés ont-elles été vendues ? Le pirate répond

Free a été victime d'un piratage massif, qui a entraîné le vol des données personnelles de millions d'abonnés, comprenant notamment des IBAN. Mais contre toute attente, elles n'auraient finalement pas été vendues...
Le piratage que Free a connu en cette fin octobre 2024 pourrait bien rester dans l'histoire par son ampleur et ses conséquences ! Et le moins que l'on puisse dire, c'est qu'elle ne manque pas de rebondissements ! L'affaire avait pris une tournure de plus en plus inquiétante puisque les données dérobées étaient censées avoir été vendues. En effet, comme le rapportait le hacker éthique SaxX, le cybercriminel derrière l'attaque, qui se fait appeler drussellx, affirmait avoir cédé le répertoire volé pour 175 000 dollars. Autant dire que la situation était plus que critique...
Mais contre toute attente, il semblerait que cela soit faux ! En effet, dans un incroyable rebondissement, le site spécialisé DataBreaches a été contacté par un autre hacker se faisant appeler YuroSh. Ce dernier explique avoir participé au piratage de Free – ils ont fourni des preuves de cela à nos confrères – et affirme que les données dérobées n'ont jamais été vendues. D'ailleurs, elles ne seront pas vendues du tout. Il se trouve que drussellx et lui ne sont pas parvenus à s'entendre quant à l'utilisation de leur butin.
Ainsi, drussellx voulait se servir des données pour extorquer de l'argent à Free – il aurait monté l'histoire de la vente aux enchères de toute pièce afin de mettre la pression à Free et ainsi obtenir davantage d'argent –, tandis que YuroSh désirait uniquement utiliser les données pour mettre en lumière "la surveillance de masse" des citoyens français. Il se présente plutôt comme un hacktiviste fermement opposé à la surveillance et aux attaques contre les libertés individuelles.
Piratage Free : attirer l'attention sur la "surveillance de masse"
YuroSH explique avoir déjà alerté Free par le passé au sujet de failles de sécurité dans ses systèmes, sans que l'opérateur n'y ait réellement donné suite. Notons que ce dernier s'était d'ailleurs vu infliger plusieurs amendes de 300 000 euros par la CNIL en 2022 pour non-respect des droits des utilisateurs et du RGPD, ainsi que pour des problèmes de sécurité des données – notamment le stockage de mots de passe en clair et la remise en circulation d'environ 4 100 Freebox mal reconditionnées. Le hacker éthique ajoute tout de même que la sécurité de l'opérateur demeure d'un niveau "tout à fait convenable pour qui ne creuse pas trop", même s'il serait "lent à répondre".
YuroSh semble vouloir utiliser l'affaire Free pour dénoncer plus largement les problèmes de surveillance en France. "Je ne suis pas un saint, mais j'espère que l'incident de free.fr va enfin réveiller les Français à la réalité de la surveillance de masse et les combattre", alerte-t-il. Selon lui, le pays fait face à une érosion massive de la vie privée, au point que celle-ci est devenue "pratiquement inexistante". D'après lui, le problème n'est pas de l'ordre de Free et de ses failles, mais est systémique, "enraciné dans un Gouvernement déterminé à imposer un État de surveillance".
Il pointe également du doigt la généralisation de la vidéosurveillance algorithmique, mise en place avant les Jeux olympiques de 2024 sous couvert de "sécurité publique", qui porte en réalité gravement atteinte aux libertés individuelles et fait craindre des dérives totalitaires (voir notre article). Sont également critiqués les drones de surveillance et les systèmes de notation par IA pour réduire les droits sociaux. "Chaque nouvel outil rapproche la France d'un État de surveillance. La vie privée est sous assistance respiratoire, et si les gens ne résistent pas maintenant, elle pourrait bientôt disparaître complètement". Nous voilà prévenus !
Piratage Free : "une sacrée envie de foutre le bordel"
Pour rappel, entre le 26 et le 28 octobre, Free avait envoyé des mails à ses clients pour leur annoncer "un accès non autorisé à une partie de leurs données personnelles associées à votre compte". Une annonce qui intervenait quelques jours après qu'un mystérieux hacker ait mis en vente les données de clients Free sur le Dark Web. Et autant dire que le vol est conséquent et touche des données particulièrement sensibles…
Le hacker – qui, au vu de son humour, a l'air d'être français – semblait vouloir semer la panique et n'hésitait pas à menacer directement les victimes. "Je conseille à tous les clients actuels et anciens de Free de se préparer à ce qui va se passer très bientôt, en particulier ceux dont l'IBAN a été compromis", écrivait-il sur le forum.
Le premier mail envoyé par Free à ses abonnés mobile était déjà très inquiétant. Il indique en effet que le pirate a dérobé un fichier contenant les noms, prénoms, adresses e-mail et postale, dates et lieux de naissance, numéros de téléphone, identifiants abonnés et données contractuelles (type d'offre souscrite, date de souscription, abonnement actif ou non). Autrement dit, une fiche d'informations personnelles très complète, permettant de réaliser de nombreuses arnaques, par détournement ou usurpation d'identité.
L'opérateur tenait toutefois à assurer que les mots de passe n'avaient pas été compromis et que "toutes les mesures nécessaires ont été prises immédiatement pour mettre fin à cette attaque et renforcer la protection de nos systèmes d'information". Une plainte avait été déposée auprès du procureur de la République et un signalement à la CNIL avait été effectué, comme il est de coutume.
Piratage Free : les données des 19 millions d'abonnés en liberté
Mais le deuxième message de Free, envoyé cette fois aux abonnés Internet, faisait froid dans le dos. Car en plus des données signalées précédemment, il précisait que le pirate avait eu accès aux IBAN (International Bank Account Number), et donc aux coordonnées bancaires des clients ! Et là, c'est une autre histoire aux conséquences encore plus lourdes.
De fait, les dégâts sont bien plus importants qu'on le craignait initialement, puisque deux nouvelles bases de données avaientt par la suite été mises en vente. L'une d'elles comprenait 19 192 948 comptes clients, avec les noms, les prénoms, les numéros de téléphone, les adresses postales complètes, les dates de naissance et les adresses mail des abonnés Free Mobile et des clients Freebox. L'autre fichier recensait plus de cinq millions de coordonnées IBAN relatives aux clients de l'opérateur.
Pire encore, le hacker, qui se fait appeler drusselex, avait ensuite diffusé gratuitement un échantillon de 100 000 IBAN, qui étaient accessibles à tous. Il affirmait avoir "une sacrée envie de foutre le bordel", en référence au dernier livre de Xavier Niel, le fondateur de Free, et indiquait qu'une "copie des données est sur le point d'être vendue pour plus de 70 000 $". Il invitait d'ailleurs l'opérateur à négocier : "Si l'entreprise ne participe pas à cette enchère unique dans les jours à venir, cette copie des données sera vendue, ce qui entraînera de graves conséquences pour les clients et sera probablement divulguée publiquement sur les forums dans un avenir proche".
Pourtant, l'opérateur avait gardé un silence relatif. Pire encore, il semblait beaucoup trop sous-estimer les risques ! Dans un message envoyé à la rédaction de CCM, il affirmait que "seuls les IBAN de certains abonnés Freebox ont été concernés" – pourtant, l'annonce du hacker mentionnait bien les IBAN des abonnés Freebox et Free Mobile – et que "un simple IBAN ne suffit pas à effectuer un prélèvement auprès d'une banque, aussi il est très peu probable qu'un prélèvement d'origine inconnue sur le compte d'un abonné soit accepté par la banque." Il assurait toutefois avoir "par mesure de précaution, nous avons informé nos partenaires bancaires".
Or, une potentielle vente ouvrirait la porte à des tentatives de phishing sophistiquées, à des usurpations d'identité et, surtout, à des prélèvements frauduleux sur les comptes en banque des victimes à cause du vol de 5 millions d'IBAN. Car si l'IBAN seul ne permet pas de vider un compte, il peut, couplé à d'autres informations sensibles, permettre de réaliser des mandats SEPA. Des données telles que celles compromises lors de la cyberattaque contre Free…
Piratage Free : quels sont les risques si votre IBAN a été volé ?
Des campagnes de phishing sont toujours à craindre dans les semaines à venir. En effet, quand ils mettent la main sur des bases de données, les escrocs utilisent des informations personnelles pour adapter leurs pièges et rendre leurs messages plus crédibles, y compris en se faisant passer pour votre opérateur – ici, Free en l'occurrence.
Le fait que les IBAN aient été dérobés peut avoir de graves conséquences. En effet, c'est ce code qui permet de faire des virements sur un compte bancaire – il est utilisé par les employeurs pour verser leur salaire aux employés –, mais aussi de mettre en place des prélèvements ! Et c'est par ces prélèvements SEPA que sont payés les abonnements à divers services (électricité, gaz, eau, forfaits mobile et Internet, plateformes de streaming, etc.) mais aussi les cotisations d'assurances et les impôts. Et comme il n'y a pas de contrôle systématique d'identité pour mettre en place, un pirate possédant l'IBAN et toutes les informations personnelles associées peut facilement ponctionner un compte bancaire avec un prélèvement. Bref, c'est la porte ouverte à un pillage massif pour tous les clients Free concernés.
Ces informations peuvent également être utilisées pour mener des attaques de SIM Swapping, une arnaque à la mode visant à voler votre numéro de téléphone en se faisant passer pour vous et en commandant une nouvelle carte SIM à votre nom. De cette manière, ils pourront ensuite accéder facilement à vos différents comptes, puisqu'ils recevront directement les codes d'identification à double facteur. Cela leur permettra également de passer des appels surtaxés en direction de numéros qu'ils ont créés, ce qui peut vous valoir une facture téléphonique de plusieurs centaines d'euros.
CYBERALERT, FRANCE | Cyberattaque Free, 100 000 IBAN diffusés gratuitement sur le "Amazon de la cybercriminalité" par le même cybercriminel français
— SaxX \_()_/ (@_SaxX_) October 27, 2024
La nuit dernière à 4h30 du matin, le cybercriminel à l'origine de la cyberattaque de Free à diffusé un échantillon de 100 pic.twitter.com/qPzE0Yq5bn
Ces informations pourront également permettre aux cybercriminels de mener des arnaques aux faux conseillers, en prétextant un problème de prélèvement pour demander un paiement immédiat par carte bancaire, par téléphone ou par email. Pire encore, les pirates pourront aussi directement prélever de l'argent sur votre compte bancaire, en usurpant votre identité et en demandant à votre banque l'autorisation de débiter votre compte. Pour cela, ils ont besoin de l'identité, du numéro de téléphone, ou encore d'autres données bancaires, comme le code BIC, qui permet d'identifier les banques à l'international. Notons que ce est particulièrement facile à trouver puisqu'il est publiquement disponible sur la toile pour toutes les banques.
Il est possible que les signatures aient également été dérobées puisqu'elles figurent au dos des cartes d'identité. Or, Damien Bancal, chercheur en sécurité du blog Zataz, a récemment découvert une base de 15 000 cartes d'identité appartenant à des Français en enquêtant sur des marchés criminels. Autant dire que les pertes financières peuvent vite se révéler assez importantes…
Piratage Free : que faire si vous êtes abonné Free ?
Ce n'est pas la première fois que Free est victime d'un piratage ! L'entreprise de Xavier Niel a déjà subi un incident de ce genre début octobre, en découvrant un accès non autorisé aux données personnelles de certains de ses clients (voir notre article). De plus, le même scénario s'était déjà produit en février dernier. Une faille avait également permis en mars 2024 à des clients de consulter les factures d'autres abonnés Freebox depuis leur espace client. Autant dire que cela commence à faire beaucoup, surtout au vu du nombre de clients concernés !
Bref, si vous êtes un abonné de l'opérateur, redoublez de vigilance dans les prochaines semaines et comme toujours, ne répondez pas précipitamment aux e-mails, SMS, appels, et même courriers recommandés dont vous ne connaissez pas l'expéditeur ou qui vous paraissent suspects. Prenez le temps de vérifier l'identité de l'interlocuteur avant de faire quoi que ce soit !
Surtout, surveillez vos mouvements bancaires afin de repérer tout prélèvement frauduleux, étant donné que les escrocs ont dérobé les IBAN. En cas de prélèvement inhabituel repéré, vous pouvez contester le débit frauduleux dans les treize mois qui le suivent. Votre banque est tenue de vous rembourser l'argent dérobé (voir notre article).
Pour savoir si vos données personnelles ont été divulguées sur le Dark Web suite à des piratages, vous pouvez utiliser des outils comme I Have Been Pwned ? En rentrant votre adresse mail dans la barre de recherche du site, il est possible de vérifier si celle-ci figure parmi une base de données ayant subi une fuite de données.
En cas de fuite, l'outil liste les sites ou applications à partir desquelles l'adresse mail a été piratée, à quelle date et les informations qui ont été compromises en plus de l'adresse mail, comme le mot de passe.