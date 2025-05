Suite au piratage massif de Free en octobre dernier, les données personnelles de millions d'abonnés, comprenant notamment des IBAN, se sont retrouvées sur le Dark Web. Vous pouvez enfin savoir si vous faites partie des victimes.

Vous vous souvenez de l'énorme piratage qui a eu lieu chez Free fin octobre 2024 ? L'affaire avait fait grand bruit, car l'opérateur avait subi un vol massif de données, impactant pas moins de 19 millions de clients (voir notre article). Les pirates avaient mis la main sur des fiches d'informations personnelles très complètes, ouvrant la porte à toutes sortes d'arnaques particulièrement sophistiquées. Pire encore : des millions d'IBAN – autrement dit, de coordonnées bancaires – avaient également été compromis. Les conséquences s'étaient rapidement fait sentir, avec la multiplication des campagnes personnalisées visant les abonnés de l'opérateur. Des mois après, vous avez enfin la possibilité de savoir si vos données ont été piratées ou non grâce au site Have I Been Pwned ? – que l'on pourrait traduire par "est-ce que mon mot de passe a été piraté ?" –, qui vient d'ajouter toutes les données compromises à son répertoire. Cela ne nécessite que quelques clics !

Piratage Free : Have I Been Pwned à la rescousse

Troy Hunt, le chercheur en cybersécurité à l'origine du site, explique sur X que les données de Free piratées ont, après avoir été mises en vente, fini par être partagées massivement sur le Dark Web. Cela lui a permis de mettre la main dessus et de les ajouter à l'immense base de données de Have I Been Pwned. Cela représente au total 14 millions d'adresses e-mail, de coordonnées postales, de dates de naissance et de numéros de téléphone, ainsi qu'une importante quantité d'adresses IBAN. Troy Hunt précise toutefois que 59 % des informations dérobées chez Free étaient déjà recensées sur sa plateforme.

Le site Have I Been Pwned se présente comme un banal moteur de recherche, avec un champ de saisie dans lequel vous devez écrire votre adresse mail pour effectuer une vérification. Un autre onglet, baptisé Passwords, permet également de savoir si un mot de passe en particulier a déjà été divulgué. Bien que tout soit en anglais, un code couleur vous permet de savoir rapidement si vous devez vous inquiéter. Si votre adresse mail ne se trouve pas dans la base de données du site, un simple message vert apparaîtra à l'écran. Dans le cas contraire, un gros bandeau rouge s'affichera, et vous pourrez voir quelles informations ont été divulguées avec et quel incident de sécurité est à l'origine de la "fuite". Vous pourrez alors prendre les mesures nécessaires.

Nous tenons toutefois à vous prévenir : consulter Have I Been Pwned est illégal en soi car, en France et dans l'Union européenne, consulter des données issues d'une fuite, même à des fins de vérification, est interdit par la loi, comme le rappelle justement le chercheur Clément Domingo. La Commission nationale de l'informatique et des libertés (CNIL) considère, en vertu du RGPD, qu'il s'agit d'une diffusion non autorisée de données personnelles, car la plateforme n'a pas obtenu le consentement explicite des victimes. C'est donc un service fort utile, mais techniquement hors la loi sur le territoire européen.