Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Social Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Free confirme la fuite des « IBAN de certains abonnés »

Il a Free, tout est parti

Free confirme la fuite des « IBAN de certains abonnés »

Ce week-end a été assez agité chez Free. L’opérateur a prévenu ses clients d’une fuite de données personnelles. Le pirate publiait de son côté 100 000 lignes de données, avec des IBAN, comme un pied de nez à Free qui ne parlait pas des données bancaires. L’opérateur nous confirme aujourd’hui que certains IBAN des clients Freebox sont bien dans la nature.

Le 28 octobre à 09h32

À partir de vendredi soir et durant le week-end, Free a envoyé des emails à ses clients (fixe et mobile) pour les informer d’une fuite de données personnelles suite à une « cyberattaque ciblant un outil de gestion ».

Le pirate publie un fichier avec 100 000 lignes

« Nom, prénom, adresses email et postale, date et lieu de naissance, numéro de téléphone, identifiant abonné et données contractuelles (type d’offre souscrite, date de souscription, abonnement actif ou non) » ont été récupérés par le ou les pirates. « Aucun de vos mots de passe n’est concerné », encore heureux…

L’opérateur ne parlait alors pas d’une fuite de données bancaires, alors que le pirate revendiquait avoir en sa possession cinq millions d’IBAN. Ce week-end, après les premiers emails de Free, le pirate a mis en ligne à qui veut le télécharger un fichier texte avec « plus de 100 000 lignes d'IBAN français de clients Free ».

Mises aux enchères des données, à 70 000 dollars

« Une copie des données est sur le point d'être vendue plus de 70 000 dollars. Si l'entreprise ne participe pas à cette unique vente aux enchères dans les prochains jours, cette copie sera vendue, ce qui entraînera de graves conséquences pour les clients, et sera probablement divulguée publiquement sur les forums dans un avenir proche », ajoute le pirate.

Free confirme la fuite d’IBAN et prévient ses clients

On y retrouve bien les données listées par Free, mais aussi des IBAN. Contacté, Free nous confirme que « les IBAN de certains abonnés ont été concernés et ces derniers ont été informés par mail ». Cela ne concerne que des clients Freebox (sur le fixe donc). L’opérateur ne donne pas de chiffres sur l’étendue des dégâts, impossible donc de confirmer les 19 millions de clients concernés et les 5 millions d’emails annoncés par le pirate.

Effectivement, dans un email reçu ce matin pour une de nos lignes (avec une Freebox), le message n’est plus tout à fait le même :

« Nous vous écrivons afin de vous informer que Free a été victime d’une cyberattaque ciblant un outil de gestion.
Cette attaque a entrainé un accès non autorisé à une partie des données personnelles associées à votre compte abonné : nom, prénom, adresses email et postale, numéro de téléphone, identifiant abonné, IBAN et données contractuelles (type d’offre souscrite, date de souscription, abonnement actif ou non) ».

Le 28 octobre à 09h32

Commentaires (27)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
70k€ c'est pas grand chose pour free :keskidit:
Il n'y a aucune garantie que le pirate ne diffuse pas les données même après paiement, ou ne demande pas une rallonge plus tard
Beaucoup de sites indiquent qu'il n'est pas possible de prélever avec juste un IBAN, il faut aussi un mandat SEPA, et qu'on dispose de 13 mois pour contester un prélèvement frauduleux.
Est ce qu'un petit article / paragraphe sur les risques encouru est possible ?
Y a t il un moyen de s'en protéger ?
Comme la signature sur un chèque. Les banques s'y pencheront s'il y a une réclamation…
Hello, lien ajouté dans l'article : https://next.ink/1394/quels-risques-pose-fuite-donnees-bancaires/
Merci pas eu le temps de le préciser en commentaire, t’es trop rapide :D
D'ailleurs il faudrait tag cet article en sécurité plutôt que science non ?
Avec nom, prénom, date et lieu de naissance, Iban.... Je pense qu'il est possible de souscrire des abonnements assez facilement, manque plus qu'une fausse pièce d'identité et vlan.
Bonjour l'usurpation d'identité
Je ne compte plus le nombre de prélèvement que j'ai sans avoir renvoyé l'autorisation de prélèvement...
Donc, à mon avis, la seule protection c'est de vérifier consciencieusement son compte. Ce qui peut être très chronophage quand on a beaucoup d'opérations avec des intitulés pas toujours explicites.
La vraie solution serait de remplacer le concept obsolète de signer un mandat par une demande à accepter explicitement depuis l'interface d'administration.
Malheureusement - et on voit ça dans le cas de la SFAM qui prélevé des anciens clients via des sociétés françaises et étrangères avec qui les clients n'ont rien contracté - il n'y a pas beaucoup de solutions.

La seule solution pour être tranquille je pense est d'être chez une banque qui permet à ses clients de faire une liste de créanciers autorisés via leur numéro ICS indiqué sur le mandat. C'est possible à la BNP, visiblement pas à la Poste (je n ai pas trouvé d'option pour activer ça)...

À nous ou aux autorités de faire pression sur les établissements bancaires pour que ce service soit disponible et gerable facilement.
C'est également possible à la Caisse d'Epargne: https://www.caisse-epargne.fr/comptes-cartes/prelevement-sepa/#anchor-liste-noire
J'ai également reçu ce nouveau mail ce matin ...
J'aime beaucoup le troll reprenant le troll de Xavier Niel trollant orange avec sa couverture qui fait penser au logo orange. ("l'arroseur arrosé ?")

Après bon, je ne suis plus chez free, mais je pense que vu l'importance de l'opérateur, tout le monde doit connaitre un peu des proches qui sont touchés. Il faut rester vigilant.

Comme quoi, free s'était fait épingler pour stocker en clair les mots de passes des abonnés, et bien c'était pas fini (comme le slogant de SFR à une époque 'et c'est pas fini').

L'attaque est peut être réalisée par un soft chez un sous traitant ou dans une filiale. Si il y a fuite ça ne veut pas dire que ça a été forcément de la compromission pure et dure d'un logiciel. C'est souvent plus simple de passer par le maillon le plus faible de la chaine, vous savez... entre la chaise et le clavier.
Ce qui est étonnant c'est le fait qu'il existe une db qui contient les iban et que celle-ci soit non chiffrée.
Perso, toujours aucun mail reçu de la part de Free.

Soit je ne suis pas du tout concerné pour une raison étrange, ce qui m'étonnerait fortement, soit Free enfreint le RGPD qui prévoit un délai de 72h pour notifier les clients en cas de risque élevé pour eux au regard des données volées, ce qui correspond bien à la situation.

Si c'est bien le cas, je m'empresserais d'ouvrir une plainte supplémentaire à la CNIL.
Le délai de 72h est pour la notification de la violation auprès de l'autorité compétente (la CNIL en France), pas pour les personnes concernées.

Qui plus est, la notification auprès des personnes n'est une obligation que dans le cas où la fuite présente un risque élevé (ce qui n'empêche pas le responsable de traitement de prévenir même si les risques sont faibles ou modérés), et dans les meilleurs délais (mais rien de fixé).
J'ai reçu l'information pour mes (anciens) abonnements FreeMobile. Je ne suis plus chez eux depuis avril 2024.
Par contre, rien reçu pour mon abonnement Freebox ... Bizarre bizarre.
Il va vraiment falloir qu'ils arrêtent avec leurs messages disant globalement que vous êtes désormais tout nu sur internet, sauf pour votre mot de passe, yeah ça nous fait une belle jambe.

Là, je ne suis pas concerné (à priori) car je ne suis plus client Free mobile depuis quelques années.
Attends qu´ils annoncent que les données d´anciens abonnés, qui évidemment n´avaient pas été supprimées de leurs bases de données, sont également concernées.

(Comme pour le Slip Français, France Travail, et bien d´autres.)
J’en doute pas, et il faut aussi que je vérifie quelle adresse électronique j’avais en contact de ce compte 😅, au cas où ça serait une que je ne consulte plus (très peu probable).
A priori,
ce n'est pas parce qu'on a résilié qu'on est nécessairement effacé de la base de données, vu qu' il est question d'abonnés actifs et inactifs dans le mail cité ici.
J'ai reçu le mail ce matin (en double), au moins la com est claire est bien foutue, pas comme un certaine site marchand récemment piraté :singe:
Vont-il prendre une amende voir ou bien est-il possible d'engager une action collective ?
Ce pirate a de l'humour concernant la com récente du patron! Les clients pourraient en avoir un peu moins car voir fuiter les IBAN en plus des noms/adresse/mail, c'est le scénario catastrophe qui signe surtout "une sacrée boite de branquignols".
Plutôt que soigner la com foireuse de façade, il ferait mieux de faire le ménage dans son arrière boutique car au vu de ce qui en sort c'est forcément pas bien beau à voir. A l'image de ses raccordements fibre par chez moi.
Pour être au courant des histoires de logos Orange et Free de ces derniers jours, ça m'étonnerait pas que ça soit un employé/presta Free qui a eu accès aux données avec un simple export complet avec les bons droits. Et l'employé/presta veut juste se faire un "peu d'argent" de poche xD Auquel cas, ça ressemblerait à cette vidéo de Micode
Le sous-titre !! :mdr2::mdr2:

Free confirme la fuite des « IBAN de certains abonnés »

  • Le pirate publie un fichier avec 100 000 lignes

  • Mises aux enchères des données, à 70 000 dollars

  • Free confirme la fuite d’IBAN et prévient ses clients

Fermer